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形式 化 方法 以 数学 为 基础 ， 其 目标 是 建立 精确 的 、 无 二 义 性 的 语义 ， 
对 系统 开发 的 各 个 阶段 进行 有 效 的 描述 ， 使 系统 的 结构 具有 先天 的 合理 性 、 
正确 性 和 良好 的 维护 性 ， 能 较 好 地 满足 用 户 需求 。 本 书记 录 和 展示 了 作者 
关于 形式 化 方法 如 何在 工业 关键 系统 中 进行 应 用 的 研究 成 果 。 

本 书 分 为 6 部 分 : 第 1 部 分 是 概述 ; 第 2 部 分 致力 于 介绍 建 模范 例 ; 
第 3 部 分 介绍 了 包括 形式 化 方法 和 相关 工具 的 使 用 以 及 应 用 程序 在 实际 系 
统领 域 的 发 展 ; 第 4 部 分 则 向 读者 展示 了 形式 化 方法 在 通信 系统 中 的 发 展 
和 成 果 ; 第 5 部 分 则 介绍 了 形式 化 方法 在 互联 网 和 在 线 服 务 方面 的 应 用 ; 
而 在 第 6 部 分 则 介绍 了 实时 应 用 程序 的 形式 化 方法 。 

本 书 可 用 作 高 等 院 校 计算 机 科学 、 自 动 化 相关 专业 本 科 生 、 研 究 生 以 
及 教师 的 参考 用 书 ， 也 可 作为 业内 专业 人 士 的 参考 书 。 


译 者 序 


形式 化 方法 以 数学 为 基础 ， 对 系统 开发 的 各 个 阶段 进行 有 效 的 描述 ， 是 有 效 
验证 系统 设计 和 开发 正确 性 的 重要 手段 之 一 。 让 已 经 被 普遍 应 用 于 测试 方法 复杂 
且 对 安全 性 有 很 高 要 求 的 控制 系统 的 形式 化 方法 更 好 地 融入 工业 中 ， 并 使 得 它们 
在 那里 可 以 发 挥 最 大 的 作用 ， 这 也 是 译 者 翻译 本 书 的 初衷 。 

本 书 作 者 是 Stefania Gnesi 和 Tiziana Margaria。 其 中 ，Stefania Gnesi 之 前 在 佛 
罗 伦 萨 大 学 任教 ， 主 讲 针 对 软件 系统 分 析 和 规范 的 方法 和 工具 ， 现 在 是 意大利 比 
萨 ISTI- CNR 的 一 位 形式 化 方法 和 工具 实验 室 的 领导 。 而 Tiziana Margaria 则 是 波 
茨 坦 大 学 数学 和 自然 科学 学 院 的 一 位 教授 ， 在 那里 她 负责 信息 学 院 的 服务 和 软件 
LEA, YER AER (Göttingen) 大 学 、 多 特 蒙 德 工 业 大 学 、 帕 绍 大 
学 ， 以 及 瑞典 和 意大利 的 大 学 游历 过 。 应 该 说 ， 作 者 在 形式 化 方法 在 工业 关键 系 
统 应 用 方面 是 有 很 深 研究 的 。 

本 书 分 为 6 部 分 : 第 1 部 分 是 概述 ; 第 2 部 分 致力 于 介绍 建 模范 例 ; 第 3 部 
分 介绍 了 包括 形式 化 方法 和 相关 工具 的 使 用 以 及 应 用 程序 在 实际 系统 领域 的 发 
展 ; 第 4 部 分 则 向 读者 展示 了 形式 化 方法 在 通信 系统 的 发 展 和 成 果 ; 第 5 部 分 则 
介绍 了 形式 化 方法 在 互联 网 和 在 线 服 务 方面 的 应 用 ; 而 在 第 6 部 分 则 介绍 了 实时 
应 用 程序 的 形式 化 方法 。 

本 书 第 1 ~3 章 由 靳 添 絮 翻译 ， 第 4 ~7 章 由 连 晓 峰 翻 译 ， 第 8 章 由 董 美 华 、 
胡 冰 川 、 班 岚 和 金成 学 翻译 ,第 9 章 由 胡 波 、 周 锐 、 王 佩 荣 和 潘 媛 翻译 ， 第 10 
章 由 苑 昆 、 郑 舒 阳 、 贾 琦 和 姓 冬 翻译 ， 第 11 章 由 陆 亚 灵 、 郭 晓 钰 和 王 炜 伊 翻译 。 
全 书 由 鞭 添 架 审 校 整理 ， 并 对 原 书 中 的 错误 进行 修正 。 

限于 译 者 的 经 验 和 水 平 ， 书 中 难免 存在 缺点 和 错误 ， 敬 请 广大 读者 批评 
指正 。 
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— Mike Hinchey 


正如 我 们 所 知 ， 作 为 许多 信用 先驱 动机 的 第 一 台 计 算 机 是 整个 19 世纪 航运 
业 的 一 个 重大 问题 。 在 此 期 间 出 现 的 对 数 表 对 该 行业 至 关 重 要 ， 通 常 包含 造成 般 
只 、 货 物 和 生命 损失 的 简单 但 显著 的 错误 。 一 般 认为 Babbage 差 动 机 可 体现 计算 
机 系统 许多 概念 标准 (包括 存储 、 程 序 甚至 类 似 于 现代 激光 打印 机 工作 原理 的 
打印 机 设计 )。 目 的 是 实现 自动 打印 航运 业 常用 的 表格 并 降低 不 准确 性 。 

取决 于 计算 位 置 的 数据 正确 烽 对 航运 业 尤 为 关键 。“ 正 确 性 ”的 概念 自从 计 
算 机 科学 真正 成 立 以 来 就 一 直 受 到 困惑 。 在 第 一 台 实 用 计算 机 〈 正 如 现在 所 知 ) 
出 现 之 前 ， 图 灵 (Turing) 就 一 直 关注 着 20 世纪 30 年 代 出 现 的 问题 。 计 算 机 先 
驱 ， 如 Zuse fu Wilkes 早 就 意识 到 ， 正 确 性 将 是 需要 解决 的 重要 问题 。 

20 世纪 60 年 以 来 或 自从 具有 现代 电子 计算 机 以 来 ， 可 靠 性 和 可 信 性 等 相关 
问题 就 一 直 受 到 安全 、 人 保护、 性 能 以 及 许多 其 他 问题 的 高 度 关注 。 提 出 形式 化 方 
ik (Formal methods) ( 先 于 现代 计算 机 本 身 的 一 个 术语 ) 来 解决 软件 系统 和 硬 
件 系 统 中 的 正确 性 问题 以 及 涉及 的 其 他 相关 问题 。 

对 于 确认 “形式 方法 学 ”的 学 者 ， 这 是 一 个 极 大 的 进步 ， 并 欣慰 地 看 到 在 
该 领域 取得 显著 进展 以 及 形式 化 方法 对 关键 应 用 领域 的 极 大 贡献 。 然 而 ， 在 现实 
中 ， 形 式 化 方法 仍 没 有 在 实践 中 得 到 所 期 望 的 广泛 应 用 ,许多 人 认为 该 方法 并 未 
形成 规模 ， 成 本 高 ， 且 难以 理解 和 应 用 。 

形式 化 方法 研究 人 员 认 为 主要 关注 于 教学 、 开 发 更 多 有 用 符号 以 及 更 好 
(集成 ) 的 支持 工具 ， 强 调 系统 的 某 一 方面 而 不 是 整个 系统 〈( 即 所 谓 的 形式 化 方 
法 作用 ) ， 建 立 用 户 社区 ， 并 鼓励 在 现实 生活 中 应 用 形式 化 方法 。 在 关键 的 工业 
领域 ， 形 式 化 方法 已 得 到 广泛 应 用 。 值 得 注意 的 是 ， “关键 ”的 定义 已 发 生变 
化 ， 意 味 着 不 仅仅 是 生命 或 财产 损失 ， 或 违反 安全 以 及 故障 所 产生 的 后 果 ， 而 且 
在 商业 意义 上 ， 还 意味 着 金融 损失 、 丧 失 竟 争 力 或 声誉 受 损 。 

从 事 工 业 关键 系统 中 的 形式 化 方法 (FMICS) 研究 的 是 从 1992 年 运行 至 今 
的 运行 时 间 最 长 的 欧洲 信息 与 数学 研究 联盟 工作 组 (ERCIM) 。 该 工作 组 由 超过 
12 个 ERCIM 合作 伙伴 以 及 欧洲 其 他 几 十 个 相关 研究 组 组 成 ， 致 力 于 提高 基于 形 
式 化 方法 的 技术 ， 并 鼓励 通过 技术 转让 激励 形式 化 方法 在 关键 工业 中 的 应 用 。 

本 书 汇 集 了 该 工作 组 优秀 研究 成 果 以 及 在 关键 工业 中 的 应 用 实例 ， 如 航空 、 
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航天 、 铁 路 信号 〈 已 成 为 形式 化 方法 技术 的 一 个 主要 驱动 行业 ) SHR, RE 
本 书 从 规范 到 实现 和 核验 等 各 个 方面 讨论 了 形式 化 方法 ， 但 重点 在 于 模型 校 验 ， 
反映 过 去 10 年 左右 时 间 内 在 工业 应 用 中 的 显著 进步 与 成 功 应 用 。 

应 用 结果 表明 形式 化 方法 在 工业 关键 系统 中 的 正确 性 。 各 位 作者 都 是 各 自 领 
域 的 专家 ， 但 不 应 该 低估 在 将 形式 化 方法 引入 行业 中 的 极 大 困难 ， 这 种 信息 非常 
简单 : 对 于 特定 应 用 领域 和 特定 关键 工业 ， 形 式 化 方法 将 会 继续 存在 。 


Mike Hinchey 
E 7 (Lero), ， 利 默 里 克 (Limerick) 


——Alessandro Fantechi 和 Pedro Merino 


本 书 具 有 很 长 历史 ， 这 是 ERCIM + FMICS 研究 组 的 部 分 历史 ， 这 是 该 联盟 
中 时 间 最 久 的 活跃 工作 组 。 

FMICS 工作 组 致力 于 形式 化 校 验 技术 的 发 展 ， 并 开发 如 国际 联合 项 目 、 校 验 
相关 和 形式 化 方面 的 软件 ， 并 从 1996 年 开始 ， 举 办 FMICS 年 度 研讨 会 。 

这 些 活动 大 大 促进 了 关于 目前 进行 的 确定 最 有 效 的 形式 化 开发 和 校 验 技术 的 
科学 研讨 ， 并 在 工业 应 用 方面 有 着 敏锐 观察 。FMICS 社会 成 员 大 多 与 行业 联系 紧 
密 ， 由 此 直接 对 过 去 10 年 内 在 工业 关键 系统 中 发 展 缓慢 但 不 断 引入 的 形式 化 方 
法 作出 巨大 贡献 。 

本 书 的 出 版 来 源 于 2004 年 在 Aix Les Bain 举行 的 研讨 会 。 形 式 化 方法 的 不 断 
发 展 ， 特 别 是 由 于 工具 性 能 不 断 完善 的 越 来 越 多 模型 校 验 技术 ， 以 及 近年 来 出 现 
的 基于 模型 的 设计 等 日 益 增长 的 重要 性 ,使 之 在 一 本 书 中 难以 全 部 展现 当前 工业 
应 用 中 的 发 展现 状 。 因 此 ， 本 书 的 内 容 在 过 去 几 年 内 不 断 变 化 。 

作为 FMICS 工作 组 的 总 负责 人 ， 为 此 特别 感谢 本 书 编辑 ， 他 们 成 功 收 集 了 
该 研究 领域 不 断 发 展 ， 以 及 在 工业 生产 中 日 益 增 长 的 软件 和 计算 机 控制 系统 应 用 
的 文献 资料 。 因 此 ， 我 们 相信 这 是 形式 化 方法 在 大 量 不 同 领域 得 到 应 用 的 见证 。 


Alessandro Fantechi 和 Pedro Merino 
FMICS 工作 组 主席 
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目前 ， 形 式 化 方法 的 必要 性 已 作为 设计 过 程 中 不 可 缺少 的 环节 ， 在 工业 安全 
关键 系统 中 得 到 广泛 认可 。 在 更 通用 的 定义 中 ,“ 形 式 化 方法 ”一 词 包括 了 所 有 
具有 精确 数学 语义 以 及 以 形式 化 方式 描述 系统 行为 的 相关 分 析 方 法 的 符号 。 

在 过 去 十 几 年 内 ， 出 现 了 许多 形式 化 方法 : 声明 法 、 并 发 和 移动 系统 的 过 程 
演算 法 以 及 相关 语言 等 其 他 方法 。 尽 管 这 些 形式 化 方法 的 优点 不 可 和 否认， 但 实践 
经 验 表明 ， 每 个 方法 都 特别 适用 于 处 理 系统 某 些 方面 。 因 此 ， 设 计 一 个 理想 的 复 
杂工 业 系 统 需 要 多 个 形式 化 方法 的 专家 从 不 同 角度 来 描述 和 分 析 系 统 。 

本 书 的 目的 主要 是 提供 一 种 目前 工业 关键 系统 设计 中 主流 形式 化 方法 的 全 面 
介绍 。 本 书 有 3 个 目标 : 减轻 形式 化 方法 的 学 习 负担 ， 这 也 是 在 工业 应 用 中 的 一 
个 主要 缺点 ; 帮助 设计 人 员 选 择 采用 最 适合 其 系统 的 形式 化 方法 ; 介绍 关键 系统 
分 析 的 先进 技术 和 工具 。 

本 书 分 为 6 部 分 。 第 1 部 分 为 概述 和 发 展现 状 。 第 2 部 分 专门 介绍 建 模范 
例 。 其 中 第 2 章 是 关于 同步 数据 流 语言 LUSTRE KHE SCADE 工具 集中 的 产业 
转移 ; 第 3 章 介绍 了 和 群 智 能 的 基本 概念 ， 这 在 各 种 不 同 应 用 领域 如 医疗 、 生 物 信 
息 学 、 军 事 / 防 御 、 监 控 ， 甚 至 互联 网 电视 广播 中 得 到 广泛 应 用 。 讨 论 了 适用 于 
基于 群 智能 的 系统 中 形式 化 方法 的 具体 要 求 。 

第 3 部 分 包括 有 关 在 实际 系统 中 形式 化 方法 的 应 用 及 其 相关 工具 的 开发 应 
用 。 其 中 第 4 章 主 要 是 关于 交通 运输 系统 ， 介 绍 了 在 当前 工业 应 用 中 铁路 信号 形 
式 化 方法 的 综述 ; 第 5 章 介绍 了 模型 校 验 技术 在 航空 电子 领域 中 的 应 用 。 

第 4 部 分 介绍 了 形式 化 方法 在 通信 系统 中 的 应 用 。 其 中 在 第 6 章 中 阐述 了 如 
何 应 用 形式 化 方法 来 提高 主动 服务 的 可 靠 性 ， 尤 其 是 重点 关注 代码 移植 、 路 由 信 
息 、 高 度 重 配置 、 服 务 间 交 互 或 安全 策略 等 方面 ， 包 括 互联 网 和 在 线 服 务 ; 第 7 
章 介 绍 了 概率 模型 校 验 的 应 用 ， 特 别 是 利用 概率 定时 自动 机 进行 通信 协议 ， 并 重 
点 进行 了 工业 相关 的 IEEE 802.3 (CSMA/CD) 案例 分 析 。 

第 5 部 分 涵盖 了 互联 网 与 在 线 服 务 。 其 中 第 8 章 介绍 了 如 何 利用 模型 首先 描 
述 和 验证 在 线 分 布 式 决策 系统 中 的 单 变 量 , 设计 为 一 个 大 型 协作 模型 的 集合 及 自 
动机 学 习 用 于 确定 实现 后 实际 系统 的 集体 应 急行 为 ; 第 9 章 描述 了 利用 模型 校 验 
来 验证 具有 发 布 /订阅 通知 服务 的 群 件 系统 中 的 用 户 意识 。 

第 6 部 分 介绍 了 运行 时 形式 化 方法 的 应 用 。 其 中 第 10 章 中 ,介绍 了 测试 和 
测试 控制 表示 版 本 3 (TTCN-3)， 并 应 用 于 Web 服务 测试 ; 第 11 章 对 实际 中 自 
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动机 学 习 以 及 其 面临 的 主要 挑战 、 改 进 以 及 可 能 的 解决 方案 进行 综述 ， 并 进行 案 
例 分 析 ， 以 表明 理论 研究 主动 学 习 技 术 可 得 到 强大 应 用 ， 从 而 成 为 实际 系统 开发 
中 的 重要 工具 。 

尽管 意识 到 本 书 不 能 详尽 、 全 面 地 介绍 形式 化 方法 在 工业 中 的 应 用 ,但 相信 
并 希望 读者 能 从 中 体会 到 该 方法 可 能 在 实践 应 用 中 不 断 提高 和 促进 。 


Stefania Gnesi 


Tiziana Margaria 
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第 1 章 形式 化 方法 : 应 用 
| 逻辑 关系 ， 理 论 | 的 计算 机 科学 


Diego Latella 
ISTI-CNR， 比 萨 ， 意 大 利 


1.1 概述 


对 形式 化 方法 (FM) 进行 一 个 全 面 定义 是 一 项 困难 而 又 有 风险 的 任务 ， 这 
是 因为 这 是 一 项 仍 在 进行 的 研究 课题 ， 其 中 形式 化 方法 的 多 个 方面 ， 包 括 从 基础 
理论 到 单纯 应 用 ， 都 还 在 不 断 地 进化 和 演变 。 然 而 ， 为 了 解决 在 本 书 中 处 理 问题 
而 引发 讨论 的 各 种 术语 ， 同 时 也 出 于 本 书 的 目的 ， 将 对 所 有 语法 、 语 义 及 其 相关 
的 理论 和 分 析 方 法 的 符号 进行 精确 地 数学 定义 ， 并 结合 自动 (软件 ) 工具 以 一 
种 形式 化 方法 来 描述 和 推理 (计算 机 ) 系统 行为 。FM 在 计算 机 工程 以 及 范围 更 
广 的 系统 工程 中 具有 重要 作用 ， 同 时 还 需 考虑 人 机 交互 作用 : 

所 有 工程 学 科 都 是 采用 基于 数学 的 符号 和 方法 得 到 发 展 的 。 研 究 模 型 的 
“形式 化 方法 ”并 试图 确定 和 开发 一 种 有 助 于 创建 计算 机 系统 任务 (包括 硬件 
和 软件 组 件 ) 的 数学 方法 [1 。 

FM 的 起 源 可 追溯 到 数学 逻辑 ， 更 确切 地 说 ， 可 追溯 到 产生 逻辑 计算 机 科学 
(LICS) 和 理论 计算 机 科学 (TCS) 的 数学 逻辑 。 有 关 FM 的 起 源 ， 其 中 最 著名 
WES OAR (Alan Turing) 5 进行 的 关键 概念 和 理论 方面 具有 里 程 碑 意 义 的 工 
作 ， 特 别 是 以 一 种 精确 术语 来 描述 通常 为 计算 机 科学 尤其 是 FM 中 核心 算法 的 固 
有 局 限 性 。 上 述 问题 的 可 计算 性 已 成 为 20 世纪 30 年 代 自 动 计算 领域 科学 发 展 的 
主要 课题 之 一 。 这 个 时 期 科学 讨论 的 核心 是 关于 形式 化 系统 中 关键 概念 的 解释 说 
明 ， 能 够 利用 明确 区 别 的 语法 和 语义 ， 以 及 形式 化 证 明 演算 的 概念 来 定义 计算 步 
JR", LICS Al TCS 的 一 些 领 域 有 助 于 FM 的 基本 开发 ， 如 语言 和 自动 机 (Au- 
tomata) 原理 、 编 程 /规范 语言 的 语法 和 语义 以 及 程序 验证 。 最 近 ， 在 系统 规范 
和 分 析 方面 作出 巨大 贡献 ， 特 别 是 对 于 并 发 /分 布 式 系统 。 这 些 贡献 包括 特定 符 
号 定义 或 符号 分 类 、 基 础 数学 和 /或 支持 这 些 符 号 的 逻辑 理论 的 发 展 、 系 统 模型 
及 其 需求 模型 的 自动 或 半自动 分 析 有 效 算法 与 技术 的 发 展 以 及 实现 上 述 算法 可 靠 
性 自动 工具 的 开发 。 接 下 来 ， 简 要 介绍 一 些 与 基础 理论 ， 如 进程 代数 ，Petri 网 ， 
类 似 于 VDM、Z、B 的 基于 状态 的 方法 ， 时 态 逻 辑 ， 以 及 模型 校 验 和 定理 证 明 等 
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分 析 技 术 的 符号 (符号 类 ) 最 相关 的 示例 。 同 时 ， 还 回顾 了 抽象 解释 ， 尽 管 没 
有 与 任何 特定 符号 相关 ， 但 作为 一 种 近似 语义 学 的 一 般 理论 ， 对 FM 的 发 展 也 具 
有 重要 贡献 。 在 此 需要 强调 的 是 ， 限 于 本 书 篇 幅 ， 接 下 来 的 内 容 并 不 是 要 对 FM 
进行 全 面 综合 分 析 ， 只 是 根据 发 展 时 间 对 该 领域 进行 概述 : 
e 符号 和 相关 支撑 理论 
进程 代数 。 进 程 代数 [9 是 一 种 研究 并 发 进程 的 代数 方法 。 其 工具 是 进程 
规范 和 形式 化 语句 的 代数 语言 ， 以 及 用 于 验证 这 些 语句 的 演算 定义 同 余 定 律 。 
典型 的 进程 代数 运算 符 有 顺序 组 合 、 不 确定 组 合 和 并 行 组 合 。 一 些 主 要 的 进程 
代数 有 CCS, CSP 和 ACP, 
Petri 网 。Petri 网 最 早 是 由 Petril3] 提 出 的 ， 用 以 描述 有 限 状 态 机 的 相互 作 
用 ， 并 由 一 组 位 置 有 限 集 、 迁 移 有 限 集 、 从 位 置 到 迁移 以 及 从 迁移 到 位 置 的 关 
系 流 以 及 关系 流 相关 权重 组 成 。Petri 网 可 以 形象 地 图 形 化 表示 ， 使 得 参数 直观 
Jj. Petri 网 的 状态 是 通过 标记 位 置 而 给 定 的 ， 也 就 是 说 ， 在 位 置 处 关联 一 些 
令 牌 。 定 义 规则 通过 移动 令 牌 来 触发 迁移 ， 从 而 改变 网 络 状 态 。 现 已 提出 多 种 
扩展 和 改进 的 Petri A, do AoA A) 、 增 加 时 间 0?'2]1 或 增加 迁移 概率 中 等。 
VDM、Z、B。 第 一 个 广泛 使 用 的 形式 化 规范 语言 ， 其 采用 传统 数学 概念 ， 
如 集合 、 函 数 、 一 阶 谓词 逻辑 等 。VDM 1 的 提出 主要 是 用 于 描述 程序 设计 语 
言 中 的 指称 语义 。Z1 站 采用 相同 概念 来 定义 用 于 描述 实体 和 研究 系统 状态 空间 
的 类 型 。 在 Z 中 ， 通 过 不 变 式 谓词 来 描述 状态 空间 的 属性 。 状 态 迁 移 是 通过 
模型 运行 的 输入 /输出 (1/0) RARA TH, BAH i i e RI wht 
为 规范 。 相 应 的 程序 语言 通过 一 种 基于 细 化 的 开发 方法 来 补充 实现 ， 其 中 包括 
细 化 一 致 性 的 定理 证 明 。 文 献 [2] 是 对 上 述 数学 框架 中 系统 建 模 关 键 概 念 一 
个 很 好 的 非 正式 介绍 。 
肝 态 逻 帮 。 时 态 远 辑 是 一 种 特殊 类 型 的 模 态 逻辑 ， 提 供 了 形式 化 系统 的 定 
性 描述 以 及 如 何 随 着 系统 计算 来 推理 声明 的 真 值 。 典 型 的 时 态 逻 辑 算 子 包 括 
sometimes 已 ， 其 属性 为 未 来 某 一 时 刻 已 为 真 ， 相 应 的 ， 如 果 未 来 所 有 时 刻 已 均 
AK, WALA always 已 。 若 模型 应 用 时 间 和 /或 提供 的 时 态 算 子 具体 设置 不 
同 ， 则 特定 的 时 态 逻辑 也 不 同 ( 如 线性 时 间 和 分 支 时 间 )。 
e 分 析 技 术 和 工具 
模型 松 验 。 模 型 校 验 是 一 种 采用 高 效 算法 以 自动 方式 进行 检测 的 检验 技 
术 ， 无 论 期 望 属性 是 否 适用 于 一 个 (通常 有 限 ) ARMA, MEA HAM” 
的 典型 状态 迁移 结构 。 现 已 开发 出 功能 强大 的 逻辑 来 表述 各 种 系统 性 能 ， 并 对 
具体 系统 模型 进行 高 级 语言 设计 。 前 一 个 示例 是 各 种 时 态 还 辑 的 变形 ， 后 一 个 
典型 示例 是 进程 代数 、 命 令 式 语言 和 图 形 符号 。 模 型 校 验 器 的 显著 示例 是 
SMVÜ?. SPINU?! 42 TLC!®! 。 
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自动 机 定理 证 明 。 自 动机 定理 证 明 是 指 利用 计算 机 来 证 明 特 定 定理 为 真 的 
过 程 。 相 关 定 理 可 能 是 传统 数学 领域 的 ， 也 可 能 是 数字 计算 机 设计 等 其 他 领域 
40) 。 在 用 于 系统 验证 时 ， 系 统 规范 5 及 其 实现 尺 是 菜 些 正确 远 辑 的 公式 。 
检验 实现 是 否 满足 公式 SSR 有效 性 的 规格 个 数 ， 这 可 由 计算 机 程序 ( 即 定理 
证 明 器 ) 自动 实现 ， 至 少 部 分 证 明 ， 有 时 完全 证 明 。 经 典 的 定理 证 明 器 为 
PVSU?. HOL! f» Nqthm ^, 

FORME. RRB LF (编程 或 规范 ) 语言 的 语义 近似 理论 。 可 用 
于 数据 和 控制 。 该 方法 规范 了 语义 精确 性 取决 于 观测 程度 的 思想 。 如 果 近 似 程 
度 足 够 粗糙 ， 则 语义 抽象 的 精度 较 低 但 可 用 于 计算 。 由 于 信息 的 相应 缺失 ， 并 
非 所 有 问题 都 有 答案 ， 但 经 近似 语义 有 效 计 算得 到 的 所 有 答案 都 是 正确 的 [2] 。 

FM 与 LICS 和 TCS 学 科 之 间 的 主要 区 别 是 ， 前 者 作为 一 种 思维 工具 试图 为 
(软件 或 系统 ) 工程 师 提 供 。 

概念 和 技术 来 清晰 、 适 当 并 方便 地 支持 对 复杂 软件 和 硬件 系统 的 描述 、 推 
理 和 构建 ("|。 

因此 ， 重 点 在 于 构建 而 不 是 还 原 ， 同 时 着 重 于 语 用 学 而 非 完 备 性 等 经 典 问 
题 。 这 种 转变 的 重点 是 一 般 应 用 于 W. Thomas 称 为 的 计算 机 科学 逻辑 “1 ， 而 不 
是 非常 传统 的 计算 机 科学 逻辑 ， 当 然 尤 其 是 要 适用 于 FM。 那么 在 FM 中 就 一 定 
能 成 功 吗 ? 尽管 尚 不 能 给 出 一 个 完备 答案 ， 这 是 因为 还 没有 看 到 FM 在 计算 机 工 
程 工业 中 得 到 完全 广泛 的 应 用 ， 但 在 判断 是 否 正确 回答 上 述 问题 上 有 非常 明显 的 
趋势 ， 这 将 在 下 面 简要 阐述 。 

在 过 去 ，FM 已 广泛 应 用 于 安全 性 、 容 错 性 、 基 本 一 致 性 、 面 向 对 象 编程 、 
编译 正确 性 、 协 议 开发 、 硬 件 检测 、 计 算 机 辅助 设计 和 人 类 安全 ( 见 文献 【32 ， 
46] 中 关于 FM 在 上 述 领域 中 的 大 量 应 用 )。 在 一 些 开 企业 (如 IBM, Intel, 
Lucent/Cadence, Motorola 和 Simens 等 主要 的 大 型 企业 ) 的 生产 过 程 中 采用 FM 
技术 来 进行 产品 质量 保证 ' ,并 从 以 下 比尔 . 盖 芯 的 语录 中 可 清楚 地 看 到 FM 
正 努力 进入 软件 开发 的 实践 领域 : 

像 软件 验证 的 工作 ， 几 十 年 来 一 直 是 计算 机 科学 的 党 高 理想 。 现 在 在 一 些 
关键 领域 ， 例 如 在 驱动 程序 验证 方面 ， 正 在 开发 可 用 于 真正 验证 软件 及 其 如 何 
工作 以 保证 可 靠 性 的 工具 '"]。 

FM 及 其 相关 工具 也 可 作为 基础 科学 分 支 中 的 支撑 技术 ， 如 生物 学 (S Ux 
献 [40] )、 物 理学 和 其 他 学 科 "*“。 而 且 ，FM 还 可 用 于 关键 安全 系统 的 设计 和 
验证 ， 如 航空 航天 领域 9” 。 在 关键 安全 系统 工程 的 国际 标准 中 ， 如 航空 业 或 





”在 欧洲 形式 化 方法 1 的 官方 网 站 中 可 获得 如 何 选 择 合适 FM 的 操作 指南 。 


6 工业 关键 系统 的 形式 化 方法 : 应 用 综述 








运输 业 ， 越 来 越 多 地 建议 或 强制 采用 FM， 如 工程 标准 ECSS-E-40-015 和 CEN- 
ELEC EN 5012804 。 在 其 他 科学 界 也 意识 到 FM 的 重要 性 ， 尤 其 是 可 靠 性 方面 ， 
例如 ， 可 靠 系统 与 网 络 国际 会 议 的 可 靠 性 软件 密集 型 系统 主题 中 专门 组 织 模型 校 
验 研 讨 会 ， 这 是 该 领域 最 具 影 响 力 的 会 议 (讨论 在 可 靠 性 领域 ,FM 的 重要 作用 
以 及 未 来 更 显著 的 作用 ， 参 见 文献 [45] )。 后 来 ,一 些 商 业 机 构 也 提供 面向 FM 
的 服务 (文献 [11] 中 所 列 部 分 )。 但 遗憾 的 是 ， 关 于 FM 是 否 已 成 功 应 用 的 问 
题 仍 然 不 能 得 到 肯定 回答 ， 这 是 因为 工业 中 的 许多 工具 都 是 很 少 公 开 详 细 信 息 的 
专用 工具 。 同 样 ， 由 于 类 似 原 因 也 很 难 获得 这 些 工具 和 方法 的 具体 使 用 方法 和 过 
程 S9。 不 过 ， 在 文献 [21] 中 介绍 了 关于 AT&T 贝尔 实验 室 的 NewCoRe WA, 
并 明确 表明 FM 在 软件 开发 过 程 中 的 作用 。 
另 一 方面 ， 通 过 科学 /技术 学 科 自 身 的 发 展 进步 也 可 评估 该 学 科 的 成 功 。 在 
过 去 几 年 内 ， 在 FM 领域 取得 了 巨大 进展 。 首 先 ， 影响 范 围 已 经 从 单纯 的 行为 功 
能 方面 扩展 到 如 下 的 系统 非 功能 性 特征 方面 1 : 
e 空间 移动 性 。 已 扩展 和 开发 了 一 些 演算 和 这 辑 以 及 相关 支撑 工具 以 显 式 
处 理 如 计算 元 素 所 占用 (物理 、 离 散 ) 空间 、 从 一 个 位 置 迁 移 到 另 一 个 位 置 
以 及 蕴涵 在 网 络 连通 性 和 通信 结构 中 的 概念 。 因 此 ， 在 开发 或 推理 大 型 分 布 式 
网 络 应 用 中 重要 的 空间 移动 性 基本 概念 ， 是 这 些 形式 化 框架 中 的 第 一 类 对 象 。 
日 安全 性 。 已 扩展 和 开发 了 一 些 演算 和 还 辑 以 及 相关 支撑 工具 以 用 于 安全 
协议 及 其 期 望 属性 的 建 模 ， 以 及 验证 或 自 改 前 者 满足 后 者 。 
e 方 界 资 源 。 开 发 基于 过 辑 、 类 型 和 演算 的 方法 以 及 相关 支撑 工具 用 于 资 
源 分 配 和 回收 的 建 模 和 控制 ， 并 表示 资源 配置 及 传播 中 的 信任 度 。 
e 迷 续 有 时间 ( 基 本 的 混合 系统 )。 在 过 去 的 15 年 ， 自 动机 、 进 程 代数 和 逻辑 
以 及 相关 支撑 工具 ， 在 连续 性 方面 进行 扩展 ， 如 有 时间 和 连续 变量 早 数 DKF, 
日 随机 行为 MITA AH, tobe Rik fom pt], ELRIAN B] B ise 
进程 代数 等 模型 中 ， 并 在 正确 逻辑 中 增加 相应 算 子 ， 从 而 提出 形式 化 概念 ， 为 
有 关 的 性 能 与 可 靠 性 属性 以 及 需求 的 建 模 和 推理 提供 基于 语言 的 工具 。( 进程 
代数 /自动 机 ) 离散 仿真 以 及 马尔 可 夫 链 和 马尔 可 夫 决 策 过 程 模型 校 验 的 自动 
软件 工具 构成 相应 的 实践 支撑 部 分 。 
在 文献 [31] 中 列 出 了 上 述 领域 的 发 展 以 及 大 量 相关 参考 文献 。 此 外 ， 也 
扩大 了 FM 的 应 用 领域 ,包括 新 的 学 科 ， 如 计算 生物 学 。 而 且 ，FM 支撑 工具 的 
功能 也 显著 提高 ， 例 如 一 些 模型 校 验 技术 。 





O 某 些 FM 倡导 者 认为 这 本 身 就 是 对 FM 及 其 相关 工具 在 工业 策略 中 的 一 种 证 明 ， 其 本 身 就 可 表明 
在 工业 策略 中 的 成 功 。 
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在 一 些 难以 利用 传统 方法 调试 和 测试 的 并 发 软件 中 应 用 效果 良好 !” ， 如 今 ， 
模型 校 验 器 可 以 处 理 多 达 10” 个 状态 的 系统 模型 ， 某 些 情况 下 ， 甚 至 可 以 处 理 
超过 10 个 状态 的 系统 模型 "1。 然 而 ， 在 FM 领域 仍然 存在 一 些 未 解决 的 问 
题 ， 如 : 

e 严格 规范 的 技术 不 易 扩展 ， 尤 其 是 自动 校 验 技术 。 这 是 由 于 状态 爆炸 问 
题 使 得 在 系统 建 模 和 验证 时 会 并 行 发 生 许多 独立 行为 。 

e 尽管 在 并 发 系统 的 组 成 规范 领域 具有 显著 进步 (特别 是 引入 进程 代 
数 ) ， 但 在 系统 模型 验证 中 却 无 太 大 改善 。 特 别 是 在 目前 的 模型 校 验 技术 中 ， 
尚未 充分 利用 组 合 性 。 

e 许多 规范 范式 和 了 验证 技术 各 自 独 立 开 发 ， 往 往 造 成 技术 上 的 不 当 二 分 
法 。 不 同 范式 之 间 缺 乏 充 分 整合 ， 如 一 些 规范 语言 中 面向 状态 的 范式 与 其 他 规 
范 语 言 中 面向 行为 或 面向 对 象 的 范式 ， 或 不 同 验证 技术 之 间 ， 如 自动 定理 证 明 
与 模型 校 验 ， 都 可 能 不 利于 每 种 范式 或 技术 。 

e FM 应 尽量 在 系统 中 完全 接受 并 成 功 应 用 ， 尤 其 是 软件 系统 工程 ， 并 应 
能 够 顺利 地 嵌入 到 更 传统 的 工业 生产 过 程 中 。 


1.2 未 来 发 展 方向 


在 中 /长 期 的 未 来 中 ，FM 面临 的 严峻 挑战 将 是 大 规模 的 工业 化 和 加 强 基 础 
研究 工作 ， 对 于 解决 计算 机 可 靠 性 ， 特 别 是 软件 可 靠 性 ， 这 是 必须 的 。 软 件 可 靠 
性 将 是 计算 机 科学 和 实践 中 的 重大 挑战 。 

从 更 具 技 术 的 层次 上 ， 需 要 特别 在 一 些 研 究 方向 上 着 重 发 展 。 接 下 来 ， 简 要 
介绍 了 其 中 几 个 研究 方向 。 尽 管 下 列 方向 并 不 全 面 , 但 必然 具有 一 定 关联 性 ; 所 
列 方 向 的 顺序 并 不 意味 着 其 优先 级 或 重要 程度 : 

e 在 抽象 解释 方面 , “已 开发 出 通用 的 、 富 有 表现 力 且 成 本 效益 较 高 的 抽 
象 来 处 理 浮 点 数 、 数 据 依 赖 性 〈 如 并 行 化 ) 、 公 平生 命 周期 性 [--], XXX 
软件 的 时 间 特 性 和 概率 特性 等 。 应 增强 目前 的 工具 ， 用 于 处 理 高 阶 组 合 模块 分 
析 ， 并 处 理 涉及 复杂 数据 和 控制 概念 的 (如 对 象 、 并 发 线程 、 分 布 式 /移动 纺 
AA) 新 的 编程 范式 ， 尤 其 是 自动 合并 和 局 部 细 化 抽象 以 处 理 “ 未 知 ” 答 
RU, stih, BORAT (TR) 静态 分 析 的 抽象 新 方法 ， 其 中 包括 采 
用 定理 证 明 [35] 。 

e 在 模型 校 验 方面 [82%] ， 抽 象 概念 是 一 项 主要 内 容 。 将 在 特别 是 克服 状 
态 爆炸 问题 方面 具有 重要 作用 。 另 外 ， 还 允许 将 模型 校 验 扩 展 到 无 限 模型 。 最 
后 ， 可 实现 软件 程序 的 模型 校 验 而 不 仅 是 规范 研究 [3] 。 需 要 研究 将 抽象 技术 
谈 入 到 模型 校 验 中 。 以 下 是 一 些 需要 进一步 研究 的 问题 : 中 如 何 从 实际 中 自动 
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构建 抽象 模型 ;@@ 当 检测 到 抽象 模型 报告 出 错时 ， 即 抽象 模型 包含 的 信息 比 实 
际 模型 少 ， 如 何 通 过 模型 校 验 算法 来 辨识 虚假 的 抽象 反例 ; (duds indo de $3 
型 以 消除 检测 到 的 虚假 反例 ; 国 如 何 从 抽象 ( 非 虚 假 ) 模型 中 推导 出 具体 反 
例 ;@@ 如 何 开发 验证 参数 化 系统 的 方法 ， 即 系统 中 具有 任意 多 的 相同 组 件 。 另 
一 个 主要 方法 是 组 合 性 。 不 可 能 对 未 来 复杂 的 真实 系统 进行 模型 校 验 ， 即 一 般 
意义 上 的 分 析 ， 如 无 法 研究 其 结构 和 架构 的 全 局 普 适 系统 ， 也 就 是 说 ， 该 系统 
由 简单 的 组 件 组 成 。 组 合 推理 和 组 合 模型 校 验 在 并 发 系统 的 自动 检测 领域 具有 
重要 作用 。 最 后 ， 模 型 校 验 和 定理 证 明 的 顺利 整合 将 会 对 示例 验证 产生 巨大 飞 
跃 ， 便 于 无 限 状 态 系统 的 建 模 和 检验 ， 并 通过 基本 情况 的 有 效 证 明 得 到 功能 强 
大 的 归纳 原则 。 

e 在 FM 的 安全 性 、 资 源 获取 和 信任 度 领 域 ， 期 望 开发 出 面向 安全 的 程序 
语言 ， 并 直接 来 自 于 1.1 节 中 提 到 的 移动 性 和 安全 性 的 理论 和 演算 。 除 此 之 
外 ， 还 需 开 发 移动 智能 体 的 特定 协议 来 获取 和 管理 资源 ， 这 将 把 访问 协商 放 在 
信任 评估 之 上 ， 且 信任 程度 取决 于 智能 体 的 相关 知识 和 信念 ， 以 及 如 何 传播 信 
任 度 。 并 严格 调查 和 评估 该 协议 ， 包 括 自 动 验证 [2] 。 

e 在 混合 系统 领域 ， 进 一 步 开 发 现 有 工具 中 通过 混合 自动 机 (包括 定时 自 
动机 ) 中 的 复杂 连续 函数 (包括 定时 自动 装置 ) 来 生成 状态 集 的 基本 思想 ， 
并 开发 相关 的 高 效 算 法 ， 以 有 利于 混合 系统 模型 的 自动 推理 。 其 中 主要 工作 在 
于 加 强 与 控制 理论 的 统一 !”]。 

e 进一步 开发 随机 概率 模型 的 模型 校 验 技术 和 逻辑 ， 以 扩展 到 现实 生活 系 
统 中 。 重 点 在 于 研究 反例 产生 问题 ， 以 及 数值 分 析 算 法 和 各 种 模型 校 验 所 需 的 
技术 。 而 且 ， 为 了 建 模 和 验证 未 来 全 局 普 适 计算 算法 的 重要 性 ， 需 要 迁移 模型 
fo Lik RSA? 

e 壕 亦 语 义 是 指 一 种 形式 化 规范 /编程 语言 和 逻辑 语义 的 一 种 很 有 发 展 前 
景 的 方法 ， 该 方法 是 从 数学 竞赛 、 有 还 辑 、 组 合 博弈 理论 和 范畴 论 发 展 而 来 的 。 
尽管 该 方法 黄 定 了 FM 的 多 个 基础 ， 另 外 ， 还 将 为 模型 校 验 (尤其 是 在 组 合 性 
方面 ) 、 部 分 规范 和 建 模 的 发 展 提供 坚实 基础 ， 并 集成 定性 和 定量 方法 ， 开 发 
基于 物理 的 计算 模型 ， 如 量子 计算 已] 。 

e 最 后 ， 为 正确 面 对 FM 的 “工程 挑战 "， 必 须 设计 一 种 公式 和 图 表 适 当 
结合 的 语言 。 目 前 ， 已 在 软件 工程 领域 ， 特 别 是 工业 方面 ， 进 行 了 最 显著 的 
UML 尝试 ， 尽管 从 数学 基础 的 观点 看 来 ， 并 没有 特别 令 人 印象 深刻 。 另 一 方 
面 ， 还 进行 了 其 他 一 些 尝试 ， 历 史上 的 例子 如 布尔 表达 式 的 等 价 性 和 有 序 二 元 
决策 表 ， 或 正则 表达 式 和 有 限 自动 机 ， 这 些 都 已 相当 成 功 并 产生 非常 有 用 的 工 
程 工 具 。 这 将 推动 “支持 图 表 语 言 和 公式 语言 合并 的 理论 ”的 研究 ， 因 为 这 
“有 助 于 设计 更 好 地 规范 语言 " [9] 。 
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尽管 上 述 列举 远 不 完整 ， 但 仍 可 认为 以 上 所 有 行为 对 于 正确 面 对 信 息 系 
dk 3g TCS 及 其 应 用 56] 的 巨大 挑战 ， 并 在 计算 机 科学 和 工程 以 及 其 他 分 支 科学 
和 工程 中 挖掘 LICS 和 TCS 的 潜力 是 必 不 可 少 的 。 
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第 2 部 分 
建 模 范例 


第 2 章 一 种 正在 应 用 的 同步 语言 : 
LUSTRE 的 发 展 
Nicolas Halbwachs 
VErimag ， 格 勒 诺 布尔 ， 法 国 
2.1 简介 


同步 语言 LUSTRE 的 设计 始 于 20 多 年 前 ， 并 相应 开发 了 一 种 工业 软件 开发 
工具 SCADE， 目 前 应 用 于 很 多 大 型 企业 中 的 嵌入 式 软件 开发 (航空 电子 设备 、 
交通 运输 、 能 源 等 )。 这 似乎 是 非常 值得 报道 和 分 析 的 一 个 成 功 案例 ， 并 从 一 项 
新 技术 到 产业 转移 的 角度 考虑 : 为 什么 会 成 功 ? 如 何 才能 更 加 成 功 ? 

相对 于 首次 应 用 于 大 型 工业 的 20 世纪 80 FR, WE, RAR RAEM 
行 。 此 时 需 承 认 这 一 领域 涉及 的 系统 具有 一 个 或 多 个 以 下 特征 : 中 必须 在 与 环 
境 ， 可 能 是 物理 环境 (实时 系统 、 工 业 控制 等 ) ， 紧 密 相互 作用 下 运行 ; OAS 
的 发 展 综合 了 软件 和 硬件 方面 ; @ 系 统 受 到 严格 的 非 功 能 性 限制 (执行 时 间 、 
内 存 限制 、 容 错 性 、 功 耗 等 ) ; 田 由 于 中 中 的 环境 对 工艺 过 程 和 设备 的 影响 ， 系 
统 的 关键 是 必须 安全 。 由 于 各 ， 般 入 式 系统 与 控制 理论 和 硬件 设计 有 着 紧密 
联系 ， 这 也 是 为 何 同步 语言 的 灵感 来 自 于 控制 工程 形式 化 和 硬件 描述 语言 的 
原因 。 

或 许 ， 大 家 可 能 非常 想 知道 为 什么 3 种 主要 的 同步 语言 RSTEREL , SIGNAL" 
和 LUSTRE ”都 源 自 于 法 国 ， 且 几乎 是 在 同一 时 间 独 立 发 展 起 来 的 。 当 然 ， 在 
20 世纪 80 年 代 初 ， 同 步 思 想 就 已 出 现 ， 不管 是 Milner) 的 理论 研究 ， 还 是 
Grafcet (EÈ IEC 1131 顺序 功能 图 )"… 或 状态 图 ”的 “几乎 同步 ”形式 化 。 但 
无 论 从 学 术 界 方面 还 是 从 工业 界 方 面 来 看 ， 条 件 都 是 特别 有 利 的 。 

在 学 术 方 面 ， 有 包括 从 事 控 制 理论 和 计算 机 科学 的 研究 人 员 组 成 的 3 个 团 
BA: 分 别 是 Jean-Paul Rigault, Jean- Paul Marmorat 和 Gérard Berry 研究 的 ESTER- 
EL; Albert Benveniste, Paul Le Guernic 研究 的 SIGNAL; Paul Caspi 和 本 章 作 者 研 
究 的 LUSTRE。 这 两 种 能 力 的 结合 在 语言 设计 中 具有 重要 作用 。 

男 一 方面 ， 社 会 上 面临 着 强烈 的 工业 需求 : 欧洲 和 法 国 的 拒 入 式 软件 行业 面 
临 着 巨大 挑战 : 

e 法 国 核反应 堆 首次 诞生 称 为 N4 的 新 家 族 ， 最 主要 的 功能 (尤其 是 紧急 
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停机 ) 是 由 计算 机 系统 SPIN (用 于 集成 核 保护 系统 ) 实现 。 
e 与 此 同时 ， 第 一 架 完 全 “应 用 全 数字 电 传 操纵 ”的 飞机 一 一 空中 巴士 
A320 设计 诞生 。 
e 在 铁路 行业 ， 设 计 出 各 种 自主 运行 的 地 铁 〔( 如 VALI5 ) 以 及 法 国 TGV 
(高 铁 ) 系列 也 越 来 越 完 全 由 计算 机 运行 。 
从 1984 年 开始 ， 得 益 于 非常 好 的 市 场 环境 ，LUSTRE 得 到 快速 发 展 。 首 先 
在 简要 回顾 同步 语言 的 原则 (2.2 节 ) 之 后 ， 将 在 2. 3 节 从 学 术 和 工业 角度 详细 
介绍 同步 语言 发 展 的 主要 阶段 。2. 4 节 分 析 了 同步 语言 在 工业 应 用 中 的 情况 。 最 
后 ，2. 5 节 概 述 了 同步 语言 的 目前 进展 及 相关 工具 。 
本 章 的 最 初 内 容 发 表 在 文献 [16] 中 。 


2.2 同步 语言 风格 


首先 以 一 种 简单 方式 来 回顾 LUSTRE 的 原理 : 通过 数据 流 来 执行 LUSTRE 程 
序 。 任 一 变量 (或 表达 式 ) x 表示 一 个 数据 流 ， 即 一 个 无 限 序列 (xo。，x)，…， 
xn’ i)o 设计 一 个 具有 周期 行为 的 程序 ， 其 中 x, 为 执行 到 第 nn 个 周期 的 x 值 。 
程序 由 输入 流 计算 得 到 输出 流 。 通 过 等 式 (数学 意义 上 ) 运算 得 到 输出 流 (可 
能 为 局 部 ) ， 等 式 “x =e” 意 味 着 “Yn，x, =e,”。 因 此 ,一 个 等 式 可 认为 是 一 
个 时 间 不 变量 。LUSTRE 运算 符 对 数据 流 进行 全 局 运算 : 例如 ，“x +y” 表 示 数 
据 流 (xo +y，2 +Y, 0, Xn + 加 ，…)。 除 了 常用 的 算术 运算 ， 还 可 以 如 数列 
所 示 逐 点 进行 布尔 运算 和 条 件 运算 ， 在 此 仅 考 虑 两 种 时 态 算 子 : 

e i£ HH "pre" (“2H”) 允许 访问 变量 的 先前 值 ;: “pre(x)” 表 示 数 
Hu (nl, xj, s, x, 4, cc), XP, KME nl 为 一 个 未 定义 (“未 初始 


16") 值 。 
o ZRA “>” (“ZE”) 用 于 定义 初始 值 :“x- >y” 表 示 数 据 流 (x, 
Yis ts Yans 00), MHS T x, RER T y, 


一 个 简单 而 经 典 的 示例 是 如 下 所 示 的 “事件 ”计数 器 程序 : 两 个 布尔 数据 
流 “evt”( 只 要 计数 “事件 ”发 生 则 为 真 ) 和 “reset”( 只 要 需 重新 初始 化 计数 
器 则 为 真 ) 作为 输入 ， 返 回 最 近 一 次 “复位 ”后 “事件 ”发 生 的 次 数 : 
node Count (evt, reset: bool) returns (count; int); 
Let 
count = if (true- > reset) then 0 
else if evt then pre (count) +1 
else pre (count) ; 


tel 
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可 直观 地 看 出 , “true- > reset” 是 一 个 布尔 数据 流 ， 在 初始 时 刻 和 “reset” 
为 真 时 为 真 ， 即 若 “true- > reset” 为 真 ， 则 “count” 值 为 0; X; "event" AH, 
“count” 值 加 1。 否则 ， 保 持 初始 值 。 

一 旦 声明 ,该 “node” 可 作为 一 个 用 户 定义 运算 符 用 于 程序 中 的 任何 地 方 。 
例如 ， 该 计数 器 可 通过 计数 “second” 值 并 对 60 取 模 ， 每 隔 60 “second” j= AE 
事件 “minute”: 

mod60 = Count (second, pre (mod60) =59) ; 
minute = ( mod60 =0) ; 


其 中 , “mod60” Œ “Count” WAAR, TPAX "second", Jf?4 "mod60" AY 
数值 为 59 时 复位 ， 若 “mod60” 为 0， 则 “minute” AH, 

因此 ， 通 过 节点 概念 ，LUSTRE 可 提供 层次 化 描述 和 组 件 复 用 。 沿 运算 符 网 
络 “ 线 路 ”传输 的 数据 可 以 是 复杂 的 结构 体 信息 。 

从 时 序 角 度 来 看 ， 工 业 应 用 表明 在 单个 系统 中 可 出 现 以 不 同 速率 生成 的 多 个 
进程 链 。 在 LUSTRE 中 提出 一 个 布尔 时 钟 概 念 ， 使 得 允许 以 不 同 速率 激活 节点 。 

LUSTRE 文本 语法 的 相应 图 形 化 表示 非常 直观 ， 例 如 : 图 2.1 是 SCADE 中 
显示 的 上 述 “minute detector" , 






> 


minute 


图 2.1 SCADE 的 图 形 化 视图 


2.3 LUSTRE 和 SCADE 的 设计 和 开发 


LUSTRE 的 初始 想法 源 自 之 前 通过 时 间 函 数 对 实时 系统 建 模 的 研究 工作 '” ， 
根据 这 种 变量 “历史 ”的 全 局 处 理 以 及 Lucid? 同步 语言 的 启发 ， 设 计 出 一 种 将 


日 ”实际 上 ,“LUSTRE” 一 词 是 “实时 的 同步 Lucid” 的 法 文 缩 略 语 。 
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时 间 序 列 值 描述 为 变量 的 编程 语言 。 而 且 ， 在 控制 理论 背景 下 ，Paul Caspi 认为 
对 于 控制 工程 人 员 ， 这 种 描述 方式 是 非常 自然 的 ， 现 在 将 该 方式 称 为 “MAT- 
LAB/Simulink 模式 ”; 根据 以 前 的 技术 经 验 ， 利 用 该 语言 来 声明 或 形式 化 数据 
流 ， 即 高 层 的 微分 方程 或 有 限 差分 方程 ， 以 及 底层 的 各 种 图 结构 .( 框 图、 模拟 
网 络 、 开 关 设 计 图 等 ) 。 


2.3.1 工业 发 展 


Caspi 的 直觉 很 快 得 到 确认 : 目前 在 很 多 公司 ， 许 多 内 部 开发 工具 都 是 基于 
这 种 形式 化 语言 的 。 这 种 工具 的 用 途 广泛 ， 包 括 从 简单 的 图 形 描述 〈 无 需 任 何 
机 械 开发 思想 ) 到 进行 一 致 性 验证 、 模 拟 仿真 ， 甚 至 是 自动 代码 生成 。 尤 其 是 ， 
位 于 格 勒 诺 布尔 的 Merlin Gerin 公司 〈 即 现在 的 施耐德 电气 公司 ) 所 负责 的 大 部 
分 SPIN (“集成 核反应 保护 系统 ”) 开发 。 意 识 到 由 于 软件 的 缺陷 所 面临 的 全 新 
问题 ， 管 理 人 员 决 定 研究 自己 的 开发 环境 ， 并 很 自然 地 选择 了 形式 化 数据 流 。 在 
此 ,一 个 良好 机 遇 是 从 一 个 称 为 SAGA (“辅助 规范 和 自动 生成 ”) 开发 环境 的 
初始 设计 阶段 进行 合作 的 。 基 于 LUSTRE, SAGA 具有 图 形 /文本 的 混合 语法 ， 并 
提供 一 种 简单 而 高 效 的 代码 生成 器 。LUSTRE 团队 的 两 个 成 员 : Eric Pilaud 和 
Jean- Louis Bergerand 被 Merlin Gerin 雇佣 来 监督 该 工具 的 开发 。SAGA II FH 
于 SPIN 和 其 他 多 个 系统 的 设计 开发 。 

但 几 年 之 后 ，Merlin Gerin 公司 人 员 意 识 到 这 种 软件 工具 的 维护 和 开发 并 不 
是 他 们 的 本 职工 作 。 因 此 ， 与 Verilog 软件 公司 签约 来 商业 推广 SAGA 产品 。 尽 
管 Merlin Gerin 公司 已 是 SAGA 的 一 个 重要 实例 ， 但 Verilog 公司 还 是 接受 了 这 一 
挑战 : 对 于 一 个 小 公司 ， 开 发 一 种 具有 准确 性 、 稳 健 性 和 生命 周期 等 关键 约束 的 
工具 是 一 种 全 新 挑战 。Verilog 公司 与 位 于 图 卢 效 的 Aerospatiale 公司 [ 现 为 空中 
客车 (Airbus) 子 公司 ] 签约 ， 为 解决 所 面临 的 与 Merlin Gerin 公司 相似 的 问题 ， 
在 基于 SAGA 的 类 似 原理 上 ， 设 计 一 种 称 为 SAO (“计算 机 辅助 规范 ”) 的 内 部 
工具 以 用 于 空中 客车 A320 机 载 软件 的 设计 开发 。 但 起 初 的 SAO 并 不 打算 实现 骨 
入 式 代码 的 自动 生成 。 后 来 ，Aerospatiale Merlin Gerin 和 Verilog 公司 之 间 建 立 
了 一 种 联盟 , E SAO Al SAGA 的 启发 下 设计 出 一 种 称 为 SCADE (用 于 “安全 关 
键 应 用 开发 环境 ”) 的 新 工具 。 与 此 同时 ，Verilog 公司 和 我 们 的 学 术 机 构 共 同 建 
立 公共 实验 室 VERIMAG， 以 更 加 便于 SCADE 的 合作 设计 开发 。Verilog 雇用 
LUSTRE 团队 成 员 Daniel Pilaud 来 负责 SCADE 团队 。 

SCADE 面临 的 新 的 巨大 挑战 是 需要 符合 航空 电子 设备 认证 机 构 的 要 求 。 尤 
其 是 ， 航 空 电子 设备 标准 DO-178B 要 求 用 于 关键 设备 开发 的 任何 工具 必须 是 与 
研究 设备 具有 相同 关键 程度 下 自身 合格 的 。 因 此 ， 为 实现 SCADE 产生 的 代码 是 
可 能 入 的 ，SCADE 代码 生成 器 应 在 与 关键 软件 相同 等 级 (飞行 软件 ，A 级 ) 下 
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质量 合格 。 尽 管 认 为 这 种 资质 与 编译 器 的 形式 化 证 明 无 关 ， 但 这 仍 是 一 种 设计 过 
程 ， 包 括 测试 范围 、 程 序 文件 质量 、 可 追溯 性 需求 等 问题 。SCADE 代码 生成 器 
KCG 或 许 是 第 一 个 能 够 用 于 验证 民用 航空 电子 设备 嵌入 式 软 件 的 商业 化 编译 器 。 
KCG 是 SCADE 的 一 个 重要 参数 : 作为 一 种 任何 代码 的 生成 器 ， 不 仅 受 限于 人 工 
代码 的 数据 流 规范 ， 更 重要 的 是 ， 由 于 质量 保证 的 需要 ， 还 应 进行 成 本 很 高 的 一 
致 性 测试 来 检测 编译 正确 性 。 这 就 是 所 谓 的 从 “V” 循 环 到 “Y” 循 环 的 变化 过 
FE: 由 代码 和 单元 测试 构成 的 “V” 的 最 底层 部 分 是 免费 且 瞬 时 的 。 

在 20 世纪 90 年代， 瑞典 公司 Prover Technology 将 基于 SAT 的 模型 校 验 器 
PROVER 和 SCADE 相 结合 ， 使 之 具有 集成 验证 功能 。 为 此 ， 采 用 形式 化 技术 来 
指定 属性 并 通过 同步 观测 器 进行 假设 。 

接 下 来 ， 同 步 语 言 LUSTRE 的 工业 化 过 程 变 得 复杂 : 首先 ，Verilog 公司 被 
CS 集团 收购 ， 然 后 卖 给 Telelogic 公司 ， 该 公司 又 将 SCADE 技术 卖 给 创建 于 1999 
年 主要 以 ESTEREL 语言 开发 工业 工具 的 Esterel Technologies Z: E]; ESTEREL if 
言 的 主要 应 用 领域 是 电路 CAD 设计 ， 而 SCADE 是 嵌入 式 软件 ， 因 此 这 两 种 语言 
并 不 相互 对 立 。 尽 管 在 外 部 结构 上 相当 不 同 ,但 都 具有 相同 的 同步 语义 模型 。 因 
此 同时 利用 这 两 种 工具 共同 开发 是 很 有 意义 的 ， 甚 至 可 以 将 两 者 合并 ( 见 2.5 
节 ) Esterel Technologies 公司 购买 SCADE 后 ， 重 新 恢复 SCADE 的 开发 (尤其 是 
在 项 目 IST- RISE 框架 下 开发 的 Simulink/Stateflow" 的 接口 ) 以 及 商业 宣传 推广 : 
现在 全 世界 范围 内 都 在 使 用 SCADE。 


2.3.2 研究 阶段 


LUSTRE 及 其 相关 工具 的 研究 是 在 与 致力 于 其 他 同步 语言 的 并 在 称 为 C2A 的 
法 国 和 欧盟 项 目 Eureka- SYNCHRON 和 Esprit/LTR- SYRN© LI Xt SafeAir- 中 成 
功 应 用 的 研究 团队 竞争 /合作 的 激烈 背景 下 进行 的 。 这 项 研究 还 涌现 出 一 系列 学 
位 论文 ,但 遗憾 的 是 ， 这 些 论文 都 是 法 文 撰写 的 。 
2.3.2.1 编译 

在 同步 语言 设计 之 后 的 第 一 个 研究 课题 (Jean-Louis Bergerand 的 学 位 论文 ) 
理 所 应 当 是 同步 语言 的 编译 。LUSTRE 可 以 很 自然 地 编译 成 顺序 命令 代码 。 以 下 
是 一 个 无 限 循环 示例 : 

initializations 


loop 


见 http: //www-verimag. imag. fr/SYNCHRONE/SYRF/syrf. html, 
http: //www. safeair2. org/ o 


20 工业 关键 系统 的 形式 化 方法 : 应 用 综述 





acquire inputs; 
compute outputs ; 
update memories 


end 


为 最 小 化 存储 单元 个 数 通常， 无需 两 个 存储 单元 来 处 理 x 和 pre(x)), H 
需 确 定 一 个 计算 输出 结果 和 存储 单元 的 正确 顺序 。 

然而 ,在 20 世纪 80 年 代 中 期 ， 编 译 ESTEREL 的 唯一 方法 是 产生 一 个 显 式 
自动 机 。 在 此 ， 采 用 一 种 类 似 于 LUSTRE 编译 的 方法 (John Plaice 的 学 位 论文 ) 。 
该 方法 的 思想 是 通过 布尔 表达 式 已 知 的 之 前 值 来 规范 代码 : 某 一 循环 中 “b” 为 
真 时 ， 那 么 在 下 个 循环 中 “pre(b)” 将 为 真 ， 而且 可 相应 地 简化 该 代码 。 当 然 ， 
也 可 通过 运算 符 “- > ”的 语义 来 指定 初始 循环 。 因 此 ， 自 动机 的 状态 对 应 于 布 
尔 变 量 存 储 器 的 配置 ， 且 根据 状态 来 指定 的 代码 表示 输出 迁移 、 运 行 条 件 和 作用 
于 非 布尔 变量 的 行为 。 与 ESTEREL 团队 合作 ， 定 义 一 种 通用 格式 OC (EW A 
动 生成 器 的 目标 代码 ， 以 便 在 这 种 格式 下 共同 常用 工具 ， 如 各 种 目标 语言 CC. 
Ada 等 ) 的 代码 生成 器 、 最 小 编译 器 、 最 优 编译 器 和 图 形 可 视 化 工具 。 

与 ESTEREL 相 比 ， 该 代码 生成 器 可 及 时 产生 具有 宛 余 状 态 的 自动 机 ， 因 此 
甚至 在 简单 程序 中 也 可 能 出 现代 码 爆炸 。 这 就 是 为 何 提出 第 一 种 “符号 互 模拟 ” 
算法 ”的 原因 ， 目 的 是 在 自动 机 生成 代码 时 执行 互 模拟 还 原 。 通 过 二 元 决策 图 
(BDD) 技术 实现 的 这 种 优化 方法 是 Pascal Raymond 学 位 论文 的 主要 内 容 。 

显 式 自动 机 代码 比 单 循 环 代码 的 效率 高 很 多 ， 但 通常 也 大 得 多 ， 而 且 代码 大 
小 是 比 其 效率 更 重要 的 一 种 指标 。 自 动机 大 小 甚至 与 源 程序 大 小 成 指数 关系 ， 因 
此 显 式 自动 机 几乎 不 能 用 于 实际 大 小 的 程序 中 。 然 而 ， 产 生 控 制 自动 机 的 各 种 方 
法 对 验证 工具 的 设计 非常 有 用 。ESTEREL 和 生成 自动 机 的 另 一 个 影响 是 在 语言 
HILAK A (assertions); ESTEREL 中 ， 在 输入 信号 之 间 引 入 简单 的 排斥 或 暗示 
关系 ， 使 得 编译 器 相应 地 简化 自动 机 。 在 LUSTRE 中 ， 自 然 地 推广 “assert < ex- 
pression > ”的 关系 ,来 表明 任意 布尔 表达 式 的 不 变性 。 
2.3.2.2 规范 和 验证 

LUSTRE 程序 验证 是 Anne- Cécile Glory 和 Christophe Ratel 学 位 论文 的 主要 研 
究 内 容 。 一 旦 已 有 一 个 可 控 自 动机 发 生 器 ， 同 时 也 具有 了 用 于 布尔 程序 的 自动 验 
证 工具 。 例 如 ， 为 了 验证 仅 包含 布尔 变量 和 运算 符 的 两 个 节点 行为 相同 ， 如 图 
2.2 所 示 ， 只 需 将 这 两 个 节点 连接 ， 将 生成 程序 编译 到 一 个 显 式 自 动机 中 ， 并 检 
查 生成 代码 是 否 输出 “ok” 时 从 未 赋值 为 “false”。 这 一 操作 也 适用 于 以 一 种 保 
守 方 式 进行 一 般 节 点 的 比较 : 如 果 “ok” 从 未 赋值 为 “false”， 则 这 两 个 节点 等 
fr, 否则 该 验证 具有 不 确定 性 。 一 种 更 一 般 的 验证 方案 如 图 2.3 Bros: 一 般 来 
说 ， 想 要 证 明 只 要 环境 行为 得 当即 满 足 某 种 假设 条 件 )， 程 序 就 满足 某 些 件 
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能 。 现 在 ， 如 果 仅 限于 验证 安全 余 能 ， 假 设 和 性 能 都 能 够 由 称 为 局 步 观 测 器 王 的 
程序 表示 ， 即 将 所 有 相关 变量 作为 输入 ， 计 算得 到 一 个 布尔 变量 输出 ， 只 要 输入 
满足 相应 的 性 能 或 假设 ， 则 输出 为 真 。 将 需要 验证 的 节点 连接 到 图 2. 3 所 示 的 观 
测 器 ， 验 证 过 程 包括 表明 (通过 可 控 自 动机 上 的 模型 校 验 ) 如 果 “env_ok” 之 
前 设置 为 “false”， 则 输出 “prog_ok” 只 能 设置 为 “false”。 当 然 ， 由 于 状态 爆 
炸 ， 最 好 使 用 专用 验证 工具 而 不 是 编译 器 。 一 种 称 为 LESAR 的 专用 模型 校 验 器 
已 开发 用 于 LUSTRE!” 。 该 工具 采用 自动 机 枚 举 搜索 技术 或 象征 前 进 / 后 退 技术 
进行 校 验 。 虽 然 该 模型 校 验 技术 很 经 典 ， 但 在 同步 声明 语言 中 非常 自然 地 引 人 和 人 了 
观测 器 规范 。 在 将 工业 验证 工具 与 SCADE 集成 时 ，Prover Technology 公司 也 采用 
了 相同 的 技术 。 另 外 ， 本 团队 还 开发 了 一 种 称 为 NBAC RETA | ZI 
具 基 于 线性 关系 分 析 ， 并 能 够 处 理 数值 变量 的 简单 (线性 ) 行为 (Bertrand 


Jeannet 的 学 位 论文 ) 。 





图 2.2 两 个 节点 的 比较 图 2.3 观测 器 规范 


2.3.2.3 自动 检测 

采用 与 观测 器 规范 相同 的 技术 来 执行 自动 检测 所 ”2 :假定 观测 器 只 用 于 
产生 实际 的 检测 序列 ， 而 性 能 作为 一 种 “标准 ”来 确定 每 种 测试 通过 与 否 。 
2.3.2.4 硬件 描述 和 数组 

1989 ~ 1992 年 ， 在 与 巴黎 数字 设备 研究 实验 室 合作 过 程 中 ， 采 用 LUSTRE 
来 配置 当时 出 现 的 大 规模 FPGA (Frédéric Rocheteau 的 学 位 论文 )。 为 此 ， 在 
LUSTRE 语言 中 扩展 了 数组 机 制 (显然 , 需要 表示 寄存 器 和 常用 结构 )， 并 出 现 
在 该 语言 的 第 4 版 中 。 
2.3.2.5 分 布 式 代码 生成 : 动态 规划 

从 同步 程序 到 分 布 式 构架 的 代码 生成 是 一 个 具有 挑战 性 的 课题 。 主 要 解决 用 
户 自行 分 配 时 的 问题 ， 例 如， 为 每 个 变量 分 配 一 个 计算 节点 。 在 Alain Girault 的 
论文 "中 提出 了 第 一 种 解决 方案 ,具体 如 下 : 为 每 个 节点 复制 整个 序列 代码 ; 
@) 根 据 局 部 计算 的 变量 ， 在 每 个 节点 处 进行 代码 分 层 ; @ 假 定 一 种 简单 通信 机 制 
(固定 大 小 的 FIFO) ， 增 加 通信 代码 及 同步 代码 。 在 Rym Salem 的 论文 "中 中 提出 
了 夯 一 种 受 控制 理论 和 工业 应 用 启发 的 解决 方案 : 该 方法 并 不 能 够 准确 实现 集中 
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式 程序 中 的 同步 语义 ， 但 充分 利用 了 同步 和 异步 接口 之 间 的 不 确定 性 〈 输 入 采 
样 大 多 异步 ) 。 近 年 来 ， 解 决 了 真正 多 循环 编程 问题 : AP Lil, LUSTRE 
人 允许 变量 以 不 同 速率 变化 ; 然而 ， 即 使 某 个 变量 变化 较 “ 慢 ”， 但 其 计算 也 必须 
在 与 其 他 变量 相同 的 较 “ 短 ”周期 内 完成 。 文 献 [37] 提出 一 种 生成 真正 多 循 
环 代 码 的 方式 ， 其 中 ,在 严格 遵守 同步 语义 的 条 件 下， 缓慢 执行 的 任务 被 快速 紧 
迫 的 任务 抢占 。 


2.4 工业 应 用 案例 


现在 ， 对 10 多 年 来 LUSTRE/SCADE 在 工业 中 的 应 用 情况 做 一 汇报 。 其 中 ， 
一 些 预 期 成 果 得 到 证 实 ， 而 也 有 一 些 没 有 得 到 验证 。 同 时 也 出 现 了 一 些 意 想 不 到 
的 品质 以 及 一 些 意 料 之 外 的 需求 。 


2.4.1 预期 成 果 


2.4.1.1 同步 数据 流 

首先 ， 如 上 所 述 ，Caspi 关于 便于 控制 工程 人 员 形 式 化 控制 的 最 初 理念 得 到 
充分 证 实 ， 尤 其 是 SCADE 用 户 非 常 自然 地 接受 图 形 化 语法 。 这 或 许 对 于 更 喜欢 
利用 文本 语法 以 及 文本 编辑 器 功能 的 程序 员 来 说 显得 非常 陌生 ， 但 要 成 为 系统 设 
计 师 ， 则 必须 采用 图 形 化 语法 。 事 实 上 ， 图 形 化 语法 SYNCCHARTS!" 已 在 ES- 
TEREL 语言 中 得 到 定义 。 
2.4.1.2 形式 化 语义 

事实 上 ， 与 很 多 控制 工程 的 形式 相 比 ， 包 含 一 种 简单 明了 、 抛 象 的 形式 化 语 
义 的 LUSTRE 具有 很 大 的 潜在 优势 : 

e 可 能 会 提高 程序 质量 ， 这 是 因为 提高 了 用 户 对 编程 语言 的 理解 程度 ， 然 
而 难以 衡量 这 种 影响 程度 。 

e 易于 对 程序 形式 化 推理 ,但 目前 在 工业 领域 ， 尚 不 清楚 形式 化 推理 是 否 
是 一 项 重要 内 容 。 

e 然而 ， 对 易于 编译 和 提高 生成 代码 质量 具有 巨大 影响 。 如 Grafcet、Stat- 
echarts 3i, Simulink 等 编程 语言 都 是 通过 仿真 算法 来 定义 的 ， 这 对 于 代码 生成 和 
优化 没有 太 大 的 自由 空间 。 

e 希望 通过 采用 形式 化 语义 ， 能 够 正式 证 明 LUSTRE 编译 器 的 优点 。 昌 然 
Eduardo Gimenez 已 成 功 尝试 过 Coq 的 辅助 证 明 5] | 但 工业 编译 器 从 未 真正 得 
到 证 明 。 主 要 问题 可 能 在 于 目前 的 这 种 证 明 未 被 认证 机 构 接 受 。 

2.4.1.3 从 时 钟 脉 冲 到 激活 条 件 
在 LUSTRE 中 ， 时 钟 概 念 与 在 SIGNAL 中 具有 重要 作用 的 时 钟 概念 非常 类 
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Wh: 允许 一 个 数据 流 仅 在 某 些 周期 具有 数值 ， 然 后 仅 在 这 些 周期 触发 运算 符 ， 
SCADE 用 户 很 少 采 用 这 种 非常 抽象 的 概念 ， 认 为 这 太 复杂 。 因 此 ， 由 一 个 称 为 
“激活 条 件 ” 的 简单 原 语 蔡 代 : 一 个 布尔 数据 流 可 作为 激活 条 件 附 加 到 某 一 节 
Hi 只 有 当 条 件 为 真 时 ， 节 点 才能 激活 ， 否 则 输出 保持 为 初始 值 〈 而 不 是 时 钟 
机 制 中 的 “无 ”)。 
2.4.1.4 形式 化 验证 和 自动 检测 

随 着 时 间 的 推移 ， 对 于 形式 化 验证 结论 的 关心 有 所 减轻 。 目 前 已 知 一 些 利用 
工业 证 明 器 插件 工具 或 本 团队 技术 原型 进行 的 性 能 验证 过 程 。 其 中 ， 观 测 器 技术 
更 受 欢迎 ， 这 是 因为 其 采用 同样 的 编程 语言 来 编制 程序 和 性 能 。 然 而 ， 形 式 化 验 
证 并 不 是 软件 设计 中 的 一 项 常规 任务 ， 甚 至 要 求 用 户 表 示 高 级 属性 和 假设 都 比较 
困难 。 此 外 ， 验 证 所 产生 的 效应 也 难以 量化 : 用户 经 常会 否定 是 通过 验证 来 提高 
最 终 程序 可 靠 性 的 (不 管 怎样 ， 本 团队 的 程序 是 零 错误 的 )， 而 且 在 降低 成 本 方 
面 ， 也 不 承认 验证 可 减少 代码 认证 所 需 的 测试 量 。 在 此 ， 硕 望 将 自动 测试 看 作 一 
种 “特洛伊 木马 ”: 因为 自动 测试 已 广泛 接受 (由 于 能 够 使 现 有 | 作 更 加 容易 )， 
同时 自动 测试 〈 即 编写 假设 和 性 能 的 观测 器 ) 所 需 工 作 量 基本 上 刊 验 证 所 需 的 
工作 量 相同 ， 用 户 逐 步 会 习惯 于 验证 工作 。 


2.4.2 意外 功能 和 需求 


另 一 方面 ， 还 发 现 与 现 有 工具 相 比 ，LUSTRE/SCADE 所 具有 的 之 前 被 忽视 
的 其 他 优势 ， 主 要 是 因为 对 于 现代 编程 语言 ， 这 是 非常 经 典 的 : 
o 程序 架构 。 与 许多 控制 工程 语言 相 比 ， 通 过 节点 概念 ，LUSTRE 能 够 通 
过 少数 预定 义 运 算 符 构建 任意 深度 的 程序 结构 。 像 SAO 这 样 的 工具 只 能 提供 
一 个 分 区 的 程序 表 ， 而 不 可 能 实现 误 套 ， 否 则 该 工具 基于 一 个 庞大 (而 且 仍 
在 不 断 增加 ) 的 预定 义 运算 符 库 。 
e 编 译 效 新 。 与 之 前 的 工具 相 比 ， 期 望 主要 在 于 提高 代码 效率 ， 事 实 上 ， 
某 些 用 户 已 对 该 编译 效率 留 下 深刻 印象 ， 相 比 之 下 ， 一 些 现 有 的 工具 会 耗 时 数 
小 时 来 编译 一 个 非常 简单 的 程序 。 
。 即时 循环 检测 。 在 LUSTRE 中 ， 禁 止 变量 一 开始 就 取决 于 自身 (循环 中 
无 “pre”) : 这 称 为 因 累 关系 钳 误 。 值 得 注意 的 是 ， 编 译 器 对 这 种 即时 循环 的 
检测 可 能 会 突出 规范 不 一 致 性 ， 当 以 一 种 顺序 命令 语言 编程 时 会 掩盖 该 不 一 致 
性 : 由 于 这 种 语言 要 求 用 户 必须 指定 评估 顺序 ， 存在 于 规范 中 的 一 些 问 题 循环 
可 能 会 被 忽视 ， 这 是 因为 受 顺序 语句 影响 ,这些 循环 可 能 会 在 任意 点 处 中 止 。 
2.4.2.1 因果 关系 问题 : 模块 化 和 独立 编译 
如 上 所 述 ， 同 步 语 言 可 产生 因果 关系 错误 的 问题 (瞬时 自 相 关 性 ) 。 因 果 关 
系 错 误 的 精确 检测 是 不 确定 的 ， 这 是 因为 其 取决 于 任意 的 数据 属性 。 因 此 需要 近 
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似 化 处 理 : 编译 器 可 能 拒绝 执行 一 些 可 执行 程序 。 在 LUSTRE 中 ， 由 于 只 是 进行 
语法 检测 ， 因 此 近似 程度 更 加 粗略 。 然 而 ， 似 乎 这 种 粗略 检测 并 不 受用 户 干扰 ， 
甚至 更 加 复杂 : 在 SCADE 中 ,准则 甚至 更 严格 ， 因 为 禁止 一 个 节点 的 输入 瞬 
间 取 决 于 该 节点 的 输出 〈 即 循环 中 不 仅 需要 一 个 “pre”， 并 且 还 应 出 位 于 节点 
Sh; 见 图 2.4)。 这 种 限制 产生 很 大 影响 : 节点 可 独立 编译 (与 所 有 其 他 同步 语 
言 相 比 ) ， 这 是 因为 节点 内 部 的 计算 顺序 并 不 取决 于 其 调用 方式 。 当 然 ， 独 立 编 
译 是 实际 应 用 中 一 个 重要 课题 。 另 外 ， 对 于 认证 时 通常 所 需要 的 代码 可 追溯 性 也 
很 重要 (〈 即 关联 产生 代码 与 源 程序 的 能 力 ) : 节点 代码 生成 或 节点 调用 都 明确 定 
义 为 整个 目标 代码 中 的 连续 块 。 





LUSTRE 中 允许 LUSTRE 中 允许 
SCADE 中 禁止 SCADE 中 禁止 


图 2.4 LUSTRE 和 SCADE 中 的 因果 关系 


2.5 现状 


最 后 ， 通 过 简单 回顾 LUSTRE 和 SCADE 的 目前 研究 与 发 展 ， 可 得 出 以 下 结论 。 

首先 ， 仍 在 进行 某 些 编程 语言 中 的 重要 改变 。 这 些 改进 的 原型 要 归功 于 
Marc Pouzet 的 “Lucid synchrone” ^? ， 这 是 LUSTRE 的 一 种 更 高 层次 的 扩展 
(或 一 种 LUSTRE 和 ML 的 合并 ) 。 

e 数 组 。LUSTRE-V465] 中 介绍 的 数组 机 制 旨 在 描述 常规 电路 。 这 不 便于 
软件 实现 ， 因 为 V4 数组 在 目标 代码 中 不 能 编译 为 数组 (循环 更 新 ) ， 目 前 将 
这 些 数组 扩展 为 与 数组 元 素 一 样 多 的 变量 。 在 文献 [31] 中 ， 提 出 一 种 类 似 
于 函数 编程 的 具有 少数 选 代 器 的 全 新 数组 机 制 。 实 验 表 明 这 种 新 机 制 对 于 大 多 
数 实际 应 用 功能 足够 强大 ， 而 且 能 明显 减 小 代码 规模 。 此 外 ， 这 种 机 制 还 允许 
采用 一 种 用 于 包含 数组 程序 通用 验证 的 原始 技术 。 

e 状态 机 。 早 就 已 知 在 一 些 情况 下 不 便于 采用 数据 流 方式 ， 如 有 系统 描述 为 
自然 序列 或 类 似 自 动机 。 现 也 已 进行 了 一 些 尝试 来 实现 命令 和 数据 流 的 混合 描 
"1 目前 ,在 SCADE 中 引入 了 一 种 称 为 “安全 状态 机 ” (SSM) 的 SYN- 





日 ”根据 某 些 SCADE 编译 操作 ， 用 于 独立 编译 和 代码 可 追溯 性 。 其 他 操作 允许 与 LUSTRE 中 相同 的 
准则 。 
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CCHARTS 简化 版 本 。 


e 封装 和 远 型 。LUSTRE 目前 还 很 少 关注 封装 和 泛 型 等 经 典 研究 内 容 ， 而 
这 些 对 于 大 型 程序 设计 、 库 定义 和 复 用 性 是 必 不 可 少 的 。 目 前 ， 正 在 引入 通用 
软件 包 的 定义 机 制 ; 封装 常数 、 数 据 类 型 、 函 数 和 节点 的 定义 ; 可 能 看 作 静 态 
常量 参数 、 类 型 函数 和 节点 。 终 有 一 天 会 产生 一 种 “面向 对 象 的 LUSTRP ” 。 
面向 分 布 式 结构 和 事件 触发 任务 (参见 2.3.2.5 节 ) 的 LUSTRE 编译 新 方法 
仍 利用 工业 工具 来 做 转换 。 关 于 代码 生成 的 另 一 个 课题 是 内 部 即时 调度 ; 在 一 些 
应 用 中 ， 相 对 于 LO 的 延 时 要 求 ， 基 本 循环 周期 设置 过 长 。 在 此 情况 下 ， 想 通过 
改变 编译 器 内 部 的 静态 调度 ， 以 使 得 输入 采集 值 能 够 “接近 ”计算 输出 值 和 排 
放量 。 在 ESTEREL 的 SAXO 编译 器 中 可 实现 这 种 功能 。 而 对 于 LUSTRE ， 仍 


在 研究 ” 。 


( 


最 后 ， 还 利用 LUSTRE 来 建 模 、 仿 真 和 验证 非 同步 系统 : 例如 ， 通 过 附加 输 
和 人 变量 (oracles) 引入 可 控 不 确定 性 可 实现 对 所 谓 的 全 局 异步 ， 局 部 同步 系统 
GALS) 建 模 57] ， 这 可 能 会 受到 断言 的 限制 。 另 外 ， 在 SystemC 的 交互 层次 上 


进行 了 关于 电路 仿真 描述 的 一 些 实验 ” 。 


1 


N 


n 
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3.1 简介 


美国 国家 航空 航天 局 (NASA) 正在 为 未 来 的 太空 探索 研究 新 的 范式 ， 主 要 
集中 在 自治 和 自主 系统 这 些 新 兴 技 术 上 “ “1。 目 前 ,正在 研究 依赖 于 类 似 于 集 
群 性 质 的 相互 协作 的 多 个 小 型 航天 器 的 任务 ， 用 于 对 依靠 一 个 大 型 航天 器 的 传统 
任务 进行 补充 和 完善 "1 。 该 任务 中 的 各 个 小 型 航天 器 都 能 够 通过 自身 完成 一 部 
分 任务 ， 但 要 成 功 执行 整个 任务 ， 则 需 与 其 他 航天 器 相互 合作 并 交换 各 自 的 
信息 。 

这 种 新 的 系统 范式 具有 以 下 多 个 优势 : 

e 具有 探索 传统 飞船 无 法 达到 的 空间 环境 和 区 域 的 能 力 ; 

e 任务 宛 余 度 更 高 (因此 ， 能 在 更 大 程度 上 保护 资产 ) ; 

e 可 降低 成 本 和 风险 等 ， 在 此 不 一 一 列举 。 群 体 任务 的 示例 中 包括 : 

o 自主 无 人 机 (UAV) 在 距离 火星 表面 大 约 1m 处 飞行 ， 数 秒 内 观测 的 火 
星 表面 面积 将 等 同 于 目前 著名 火星 探测 器 所 有 时 间 内 探索 的 面积 ， 

o 利用 四 面体 行走 器 的 手臂 去 探索 火星 和 月 球 的 表面 151 ， 

o 卫星 编队 飞行 星座 体系 ， 

o 小 型 化 微型 类 航空 飞船 探索 小 行星 带 ， 迁 今 为 止 ， 不 可 能 在 极度 高 损耗 
情况 下 发 送 探测 飞船 06] 。 

而 ， 这 些 新 探索 方法 同时 也 存在 许多 挑战 。 这 些 任 务 都 是 无 人 操作 且 高 度 
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自治 的 。 其 中 ， 许 多 都 将 被 发 送 到 太阳 系 ， 这 对 于 载 人 任务 ， 在 可 预见 的 技术 限 
制 条 件 下 是 根本 不 可 能 完成 的 。 从 地 面 到 航天 飞船 之 间 的 往返 通信 延迟 将 超过 
40min， 这 意味 着 ， 在 探索 任务 的 响应 决策 以 及 存在 某 些 问题 和 无 法 预料 情况 下 
必须 在 现场 作出 决策 而 不 是 从 地 球 上 获得 地 面 控 制 。 

这 些 任 务 所 需 的 自主 性 和 智能 化 程度 都 需要 对 任何 开发 系统 (软件 和 人 硬 
件 ) ， 进 行 大 量 测试 。 除 此 之 外 ， 无 法 完全 预测 具有 学 习性 和 自主 性 〈 如 自我 优 
化 、 自 我 修复 ) 的 突 发 性 行为 模式 ， 因 此 ， 这 些 任 务 将 需要 比 传统 单个 航天 器 
任务 复杂 程度 高 多 个 数量 级 的 命令 ， 并 验证 这 些 新 类 型 任务 无 法 利用 传统 技术 实 
现 。 笔 者 认为 形式 化 规范 技术 和 形式 化 验证 技术 将 在 NASA 太空 探索 任务 的 未 来 
发 展 中 发 挥 重要 作用 。 即 使 这 些 行为 〈 一 定 范 围 内 ) 是 突 发 的 (由 于 大 量 相 互 
作用 实体 的 构成 ， 缺 少 特 殊 设计 和 验证 措施 的 产生 行为 是 不 可 预见 的 ) ， 形 式 化 
方法 也 能 够 确保 软件 质量 并 证 明 群 体 行为 的 正确 性 。 所 推导 的 形式 化 模型 还 可 作 
为 任务 大 部 分 代码 自动 生成 的 基础 “| 。 

为 应 对 这 些 任务 验证 过 程 中 面临 的 挑战 ，NASA 的 一 个 群体 技术 形式 化 方法 
(FAST) 项 目 研 究 了 用 于 这 些 任务 的 形式 化 方法 全 7 了 4 。 另 一 个 NASA 的 概念 
任务 一 一 自治 群体 纳米 技术 (ANTS ) ， 作 为 一 个 指定 和 验证 任务 的 示例 557 。 
用 于 ANTS 任务 中 的 一 种 有 效 形 式 化 方法 能 够 预测 1000 个 智能 体 构 成 的 群体 突 
发 行为 ， 也 能 预测 单个 智能 体 的 行为 。 任 务 完成 的 关键 在 于 自治 性 和 自主 操作 调 
整 能 力 ， 以 反映 不 断 变化 的 条 件 和 任务 目标 。 

本 章 首 先 概述 了 群体 技术 ， 然 后 基于 群体 的 概念 任务 ANTS 给 出 了 用 于 验证 
基于 群体 的 任务 的 大 量 形式 化 方法 的 评估 结果 ， 并 提出 了 一 种 用 于 验证 基于 群体 
的 系统 的 集成 形式 化 方法 。 


3.2 群体 技术 


群体 是 由 大 量 相互 作用 并 与 环境 交互 的 简单 智能 体 组 成 的 。 其 中 ， 没 有 集中 
控制 器 来 控制 整个 群体 且 没 有 一 个 智能 体 具有 全 局 视图 ， 通 过 简单 的 交互 作用 产 
生 “ 应 急行 为 "， 并 动态 自 组 织 群 体 行为 。 应 急行 为 是 由 研究 社会 性 昆虫 自 组 织 
行为 的 Bonabeau 等 人 ”通过 观察 昆虫 和 鸟 类 而 发 现 的 ， 指 出 “复杂 的 集体 行为 
可 能 是 通过 具有 简单 行为 的 个 体 之 间 交 互 产 生 的 "， 并 将 应 急行 为 描述 为 “一 组 
通过 低级 组 件 之 间 相 互 作用 而 产生 系统 全 局 结构 的 动力 学 机 制 ”"。 应 急行 为 有 时 
也 称 为 宏观 行为 ， 而 个 体 行为 和 局 部 相互 作用 称 为 微观 行为 。 

群 智能 体 经 常 作 为 一 种 建 模 技术 和 研究 复杂 系统 的 一 种 工具 '*1。 在 群 智能 
体 模拟 中 ， 主 要 研究 与 应 急行 为 相关 的 一 组 相互 作用 的 智能 体 '” (通常 是 同 构 
或 近似 同 构 )。 群 智能 体 模拟 在 鸟 群 ”"”! 、 商 业 和 经 济 中 以 及 生态 系统 ”1 的 研 
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究 中 得 到 广泛 应 用 。 在 群 智能 体 模拟 中 ， 给 定 每 个 智能 体 试图 使 其 达到 最 大 化 的 
特定 参数 。 关 于 鸟 群 ， 每 只 鸟 都 试图 找到 另 一 只 鸟 来 一 起 飞 ， 并 飞 到 其 一 边 且 略 
微 高 于 以 减少 阻力 ， 最 终 形 成 鸟 群 。 同 时 ， 和 群体 研究 也 用 于 如 电话 交换 机 、 网 络 
路 由 、 数 据 分 类 和 最 短路 径 优化 的 应 用 中 。 

在 智能 群体 中 ， 群 个 体 成 员 具 有 智能 性 “” 。 智 能 群 中 的 个 体 可 以 是 同 构 或 
异 构 。 由 于 各 自 环境 不 同 ， 即 使 初始 时 是 同 构 的 群 个 体 也 会 学 习 不 同 技能 并 产生 
不 同 目标 ， 由 此 整个 群 变 为 异 构 。 开 始 时 为 同 构 的 一 个 群 (如 下 所 述 的 NASA BE 
念 任务 ) 将 具有 不 同 能 力 以 及 可 能 存在 社会 结构 。 由 于 群体 不 再 是 由 具有 有 限 
智能 和 通信 能 力 的 同 构 个 体 组 成 这样 将 使 得 更 加 难以 验证 这 些 系统 。 

群体 的 应 急行 为 可 能 是 不 可 预知 的 。 尽 管 群体 行为 通常 是 简单 个 体 行为 的 集 
合 ,但 是 当 整 合 在 一 起 时 ， 可 能 形成 往往 意 想 不 到 的 复杂 行为 。 这 使 得 智能 群体 
验证 更 加 困难 ， 不 仅 因为 每 个 成 员 本 身 更 加 复杂 ， 而 且 大 量 智能 个 体 之 间 的 相互 
作用 也 更 为 复杂 。 智 能 群体 具有 一 个 巨大 的 状态 空间 ， 并 且 由 于 个 体 可 处 于 
“学 习 模 式 ”， 由 此 ,个体 行 为 和 群体 应 急行 为 可 能 不 断 变化 而 导致 难以 预测 。 
然而 ， 精 确 预测 这 些 行为 对 任务 开发 人 员 至 关 重 要 ， 以 确保 任务 操作 安全 并 按 预 
期 完成 。 

本 节 其 余 内 容 是 对 基于 群 智能 体 的 概念 任务 NASA. ANTS 及 其 规范 难点 进行 
概述 。 为 评估 基于 群 智能 体 任务 中 规范 、 验 证 和 校 验 的 多 种 形式 化 方法 ， 在 此 利 
用 ANTS 任务 作为 实验 测试 平台 和 案例 分 析 。 


3.2.1 ANTS 任务 概述 


ANTS 概念 任务 “” 涉及 一 群 自主 微型 (4 1kg) 航天 器 的 发 射 ， 通 过 探索 
小 行星 带 来 寻找 具有 一 定 科 学 性 的 小 行星 。 图 3. 1 给 出 了 ANTS 任务 概况 。 
在 该 任务 中 ， 从 地 球 上 发 射 的 太空 运输 飞船 将 飞行 到 太空 中 小 型 物体 (如 微型 
航天 器 ) 上 的 净 引 力 可 忽略 不 计 的 位 置 (太阳 系 中 的 拉 格 朗 日 点 ) 。 在 该 位 置 
处 ,来 自 地 球 上 制造 的 1000 个 航天 器 根据 不 同 轨迹 发 射 到 小 行星 带 。 由 于 尺寸 
很 小 ， 每 个 航天 器 只 能 携带 一 个 专用 仪器 来 采集 行星 带 中 小 行星 的 特定 类 型 
数据 。 

为 实现 这 一 任务 ， 考虑 采用 一 种 启发 式 方法 来 提供 具有 类 似 于 昆虫 聚集 地 或 
群体 层次 化 行为 的 群体 社会 结构 ， 并 由 某 一 航天 器 指挥 其 他 航天 器 。 研 究 遗 传 算 
法 、 神 经 网 络 、 模 糊 逻 辑 和 车 载 规划 器 等 人 工 智能 技术 来 辅助 任务 保持 高 度 自主 
性 。 任 务 的 关键 在 于 应 具有 能 够 自主 调节 操作 以 体现 任务 、 距 离 以 及 与 地 球 通信 
低 带 宽 不 断 变化 的 本 质 的 能 力 。 接 近 80% 的 航天 器 将 成 为 携带 专业 仪器 的 “ 工 
人 ”如 磁力 计 、X 射线 传感器 、 伽 马 射线 、 可 视 /红外 波段 或 中 性 粒子 质谱 
仪 )， 并 通过 这 些 仪 器 采集 特定 类 型 的 数据 。 其 中 某 些 航 天 器 作为 “协调 者 ” 
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图 3.1 ANTS 任务 概念 图 


(统治 者 或 领导 者 ) ， 具 有 确定 小 行星 类 型 和 任务 感 兴趣 数据 以 及 协调 载体 之 间 
工作 的 规则 。 第 3 类 航天 器 是 “信使 "， 负 责 协调 统治 者 和 工人 之 间 的 通信 以 及 
与 地 球 上 的 任务 控制 中 心 (也 称 为 地 面 控 制 ) 进行 通信 。 

当 ANTS 团队 遇 到 小 行星 时 ， 会 发 生 很 多 事情 。 航 天 器 可 以 飞 掠 观察 并 寻找 
机 会 进行 观测 。 通 过 飞 掠 观察 可 首先 在 发 送 整个 团队 之 前 确定 该 行星 是 否 是 感 兴 
趣 的 行星 ， 并 根据 航天 器 搭载 的 仪器 特性 ， 确 定 是 否 仅 需要 飞 掠 观察 。 如 果 确 实 
是 目标 小 行星 ， 则 发 送 一 个 成 像 航 天 器 到 小 行星 以 确认 其 确切 尺寸 和 特性 ， 并 创 
建 一 个 用 于 操控 其 他 航天 器 探测 小 行星 周围 的 大 致 模型 。 然 后 ， 其 他 航天 器 团队 
相互 协调 以 完成 对 小 行星 的 研究 和 地 图 绘制 ， 最 终 形成 一 个 完整 模型 。 


3.2.2 ANTS 规范 和 验证 


上 述 只 是 对 ANTS 任务 的 一 个 非常 简单 的 概述 。 更 详细 的 描述 ， 感 兴趣 读者 
可 直接 参考 文献 [39] 和 文献 【46] ， 或 浏览 ANTS 网 站 。 从 上 述 的 简要 概述 中 
HA, ANTS 是 一 个 极 具 挑战 性 的 高 度 复杂 的 系统 。 其 中 不 仅仅 是 异 构 组 件 之 间 
的 复杂 相互 作用 ; 需要 连续 的 重新 规划 、 重 新 配置 以 及 重新 优化 ; 需要 在 没有 地 
球 控制 人 员 的 干预 下 自主 操作 ; 以 及 需要 确保 任务 的 正确 操作 。 

在 诸如 ANTS 的 高 度 自治 化 并 与 地 面 控制 长 时 间 失 联 的 任务 中 ， 一 旦 启动 
后 ， 软 件 错误 将 是 不 可 观测 及 或 不 可 纠正 的 。 因 此 ， 在 任务 启动 之 前 ， 高 度 确保 
任务 正确 是 非常 有 必要 的 。 由 于 在 最 终 的 实际 环境 下 的 测试 是 不 切实 际 或 不 可 能 
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的 ， 因 此 需要 模拟 实现 空间 探索 系统 测试 。 尽 管 这 些 模 拟 实 验 具 有 非常 高 的 质 
量 ， 但 通常 还 是 会 有 一 些 很 小 的 错误 ， 并 由 此 可 能 导致 整个 任务 失败 。 正 如 在 火 
星 极地 着 陆 号 任务 '” 中 所 发 生 的 ， 在 飞行 软件 中 缺少 可 能 会 导致 整个 任务 失败 
的 一 行 代码 。 在 火星 极地 着 陆 器 (Mars Polar Lander) 的 失败 报告 中 提 到 : 
意识 到 太空 任务 是 一 种 “一 招 不 慎 ， 满 盘 强 输 ” 的 行为 非常 重要 。 即 使 
正确 执行 了 上 万 个 函数 ， 但 只 要 有 一 个 错误 就 可 能 导致 任务 产生 灾难 性 后 果 。 
因此 ， 
对 于 任务 的 成 功 执行 ， 进 行 全 面 彻底 的 测试 和 程序 验证 是 必 不 可 少 的 。 

如 ANTS 等 复杂 任务 更 加 难以 发 现 错误 ， 并 需要 新 的 任务 验证 方法 来 提供 
NASA 所 需 的 软件 保证 程度 ， 以 将 风险 降低 到 可 以 接受 的 水 平 。ANTS 的 许多 行 
为 ， 包 括 基 于 时 间 产 生 竞 争 条 件 的 行为 ， 都 只 是 在 特定 时 刻 或 特定 顺序 下 执行 数 
据 发 送 和 接收 才 发 生 ， 或 学 习 后 发 生 。 在 此 情况 下 ， 通 过 输入 样本 数据 和 检查 结 
果 正 确 性 几乎 无 法 发 现 错误 。 为 通过 测试 发 现 这 些 错误 ， 就 必须 在 涵盖 软件 流程 
中 所 有 可 能 的 状态 组 合 (状态 空间 ) 中 执行 所 涉及 的 软件 处 理 过 程 。 由 于 状态 
空间 与 状态 个 数 呈 指数 关系 (有 时 为 阶乘 关系 )， 即 使 是 相对 较 少 的 处 理 过 程 ， 
也 导致 无 法 测试 。 传 统 上 ， 为 解决 状态 爆炸 问题 ， 测 试 人 员 将 人 为 减少 系统 中 的 
状态 个 数 ， 并 利用 模型 来 近似 所 采用 的 软件 程序 。 这 样 就 减少 了 模型 保 真 度 ， 并 
掩盖 了 潜在 错误 。 

规定 (和 验证 ) 群体 行为 的 一 个 重要 问题 是 可 支持 应 急行 为 的 分 析 与 确定 。 
应 急 思想 源 自生 物 学 、 经 济 学 和 其 他 科学 领域 ， 并 广为人知 ， 即 使 在 计算 机 科学 
与 工程 领域 也 是 非常 有 名 的 。 尽 管 计算 机 科学 家 和 工程 人 员 经 常会 遇 到 应 急行 为 
问题 ， 但 对 于 该 问题 尚未 充分 理解 。 应 急行 为 描述 为 “ 比 个 体 组 件 行为 更 复杂 
的 系统 行为 ，…， 且 并 非 按 设计 者 预期 执行 " 。 这 意味 着 在 充分 理解 个 体 行为 
的 系统 中 ， 其 组 件 的 相互 作用 与 单个 环境 相 结合 ， 可 展示 出 从 个 体 组 件 行为 无 法 
预见 或 无 法 解释 的 行为 。 由 此 可 推论 出 ， 改 变 系统 集中 某 一 系统 的 组 件 或 替换 系 
统 集中 某 一 系统 的 子 系统 ， 都 可 能 对 整个 系统 行为 以 及 其 他 子 系统 行为 产生 不 可 
预见 的 、 意 外 的 、 完 全 无 法 解释 的 后 果 。 

群体 任务 的 形式 化 规范 应 能 够 跟踪 任务 目标 的 变化 ， 并 在 获得 新 数据 时 可 调 
整 通用 模型 。 形 式 化 规范 还 应 允许 指定 决策 过 程 ， 以 帮助 决策 需要 哪些 仪器 、 放 
置 在 何 种 位 置 以 及 具有 何 种 目标 等 。 一 旦 完成 ,形式 化 规范 就 必须 可 以 证 明 系 统 
性 能 ,检查 特定 类 型 的 错误 ， 并 作为 输入 用 于 模型 校 验 器 。 形 式 化 方法 还 必须 能 
够 跟踪 领导 者 模型 ， 并 当 采 集 数 据 满足 目标 要 求 时 ， 能 够 作出 决策 。 为 实现 上 述 
所 有 功能 ， 将 4 种 明确 的 形式 化 方法 ”集成 似乎 是 验证 基于 群体 系统 的 
最 佳 方法 。 
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3.3 NASA FAST mH 


FAST 项 目 确定 了 验证 基于 群体 系统 的 形式 化 方法 中 所 需 的 几 个 重要 属 
PEPE ， 并 对 形式 化 方法 和 形式 化 技术 进行 广泛 调研 ”以 确定 现 有 形式 化 
方法 或 形式 化 方法 组 合 是 否 适用 于 规定 和 验证 基于 群体 的 任务 及 其 应 急行 为 。 根 
据 确定 在 智能 群体 应 用 中 非常 重要 的 少数 几 个 标准 ， 对 各 种 形式 化 方法 进行 了 调 
研 。 这 些 标准 包括 : 

e 支持 并 发 和 实时 约束 ; 

e 形式 化 基础 ; 

e ( 现 有 的 ) 工具 支持 ; 

e 应 用 于 基于 智能 体 或 基于 群体 的 系统 的 以 往 经 验 ; 
e 算法 支持 。 

在 此 ， 确 定 已 有 大 量 满足 并 发 行为 和 算法 行为 某 个 规范 而 并 非 全 部 规范 的 形 
式 化 方法 。 另 外 ， 近 年 来 ， 已 开发 出 大 量 同 时 支持 并 发 和 算法 规范 目标 的 集成 形 
式 化 方法 。 根 据 调 研 结 果 ， 选 择 4 种 形式 化 方法 用 于 ANTS 部 分 任务 的 规范 示 
例 ， 这 些 方法 如 下 : 

e 1) 通信 顺序 进程 (CSP), 

e2) 通信 系统 的 加 权 同 步 演算 (WSCCS)']; 
e 3) X 9-311 , 

© 4) Unity (单一 ) wag), 

由 于 本 团队 在 利用 CSP 规范 智能 体系 统 方面 已 具有 丰富 经 验 和 显著 成 就 ， 
因此 在 此 选择 CSP 作为 基准 的 规范 方法 。 选 择 WSCCS 和 X 机 是 因为 已 由 其 他 人 
员 成 功 应 用 于 规范 应 急行 为 。 选 择 Unity 逻辑 是 因为 其 已 成 功 应 用 于 规范 并 发 系 
统 ， 另 外 ， 与 其 他 方法 相 比 ， 该 方法 是 基于 逻辑 的 。 将 X 机 的 记忆 功能 和 迁移 
功能 ， 与 WSCCS 和 其 他 方法 的 优先 级 和 概率 相 集成 可 产生 一 种 允许 规范 ANTS 
任务 和 其 他 群体 系统 中 应 急行 为 所 有 必要 因素 的 规范 方法 。 此 外 ， 目 前 已 有 工具 
能 够 支持 这 些 形式 化 方法 ”1。 

采用 集成 形式 化 方法 的 做 法 是 一 种 视点 整合 方法 1。 这 种 类 型 的 形式 化 
集成 方法 ， 保 持 各 方法 的 形式 化 基础 不 变 ， 并 研究 形式 之 间 的 关系 来 体现 新 的 形 
式 化 方法 。 该 方法 可 保留 各 个 方法 的 作用 ， 使 得 实现 ANTS 任务 的 无 颖 规范 ， 并 
允许 利用 各 方法 的 现 有 语义 来 开发 相应 的 支持 工具 。 

视点 规范 也 广泛 作为 处 理 规范 复杂 大 系统 的 一 种 有 效 方法 。 每 个 视图 规范 都 
利用 最 适合 该 视图 的 一 种 语言 来 描述 系统 的 某 个 方面 (而 不 是 一 个 组 件 或 模 
块 )。 采 用 该 方法 的 结果 是 以 不 同 视图 表示 相同 或 相关 组 件 的 规范 ， 且 必须 充分 
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地 相互 交叉 引用 。 


3.4 群体 形式 化 集成 方法 


目前 采用 的 大 多 数 形 式 化 符号 都 是 创建 于 20 世纪 70 年 代 和 80 年 代 ， 用 于 
反映 当时 开发 的 分 布 式 系统 类 型 。 现 在 ， 分 布 式 系统 不 断 发 展 ， 已 不 能 用 规范 过 
去 系统 的 相同 方式 来 进行 规范 2 。 因 此 ， 许 多 研究 人 员 和 从 业 人 员 将 形式 化 方 
法 进行 组 合 以 形成 集成 (混合 ) 方法 来 解决 分 布 式 系统 的 新 功能 〈 如 移动 智能 
体 、 群 智能 体 和 应 急行 为 ) 。 

集成 方法 在 规范 并 发 系统 和 基于 智能 体 的 系统 中 得 到 广泛 应 用 。 集 成 方法 通 
常 是 在 基于 模型 的 方法 中 结合 进程 代数 或 基于 逻辑 的 方法 。 进 程 代数 或 基于 逻辑 
的 方法 易于 规范 并 发 系统 ， 而 基于 模型 的 方法 则 重点 在 于 规范 系统 中 的 算法 部 
分 。 下 面 列 出 用 于 规范 并 发 系统 和 基于 智能 体 的 系统 的 部 分 集成 方法 : 

e X mise”); 

e CSP- OZ (CSP 和 Object- Z 结合 021 ) ; 

* Object- Z 和 状态 图 [1，; 

e 定时 通信 Object- Z ; 

e B A Bi’, 

e 定时 CP’; 

e 时序 Petri 网 (时 态 逻 辑 和 Petri)"; 
e ZSSC (Z 和 CCS #4") 。 

为 阐述 CSP, WSCCS, X 机 和 Unity 逻辑 的 集成 ， 下 面 给 出 几 个 不 同 视图 下 
ANTS 任务 的 示例 。 在 不 同 视图 下 表明 这 些 方 法 如 何 相互 交叉 引用 以 及 每 个 方法 
如 何 提 供 ANTS 任务 的 不 同 视图 。CSP 提供 进程 间 通 信 视 图，X 机 提供 状态 机 和 
内 存 视图 ，WSCCS 提供 概率 和 优先 级 视图 ， 而 Unity 逻辑 提供 逻辑 视图 。 其 中 所 
引用 的 每 个 变量 ， 如 目标 和 模型 ， 都 具有 额外 符号 或 重点 表示 其 他 视图 规范 的 交 
又 引用 。 对 于 较 长 的 规范 ， 可 以 采用 颜色 编码 。 由 于 这 只 是 用 于 说 明 目 的 的 示例 
规范 ， 因 此 采用 粗 体 突出 显示 。 以 下 各 小 节 给 出 了 基于 文献 [36, 37, 41] 中 
所 列 规范 的 视图 示例 。 


3.4.1 CSP 简 述 
以 下 是 CSP 方法 中 ANTS 任务 的 顶层 规范 : 


ANTS goa, = Leader, | pas || Messenger, .. Lind | Worker, goats 


l<i<m, 1<j<n, 1<k<p 
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RF, m 为 领导 者 航天 器 个 数 ; n 为 信使 航天 器 个 数 ; 为 工人 航天 器 个 数 。 

该 规范 表明 根据 由 主要 研究 人 员 给 定 的 一 组 目标 开始 或 初始 化 ANTS 任务 ， 
其 中 一 些 目标 是 针对 领导 者 〈 而 一 些 目标 并 非 针 对 领导 者 ， 是 因为 这 些 目标 是 
地 面 控制 或 不 适合 于 领导 者 的 ) 。 除 了 目标 ， 每 个 航天 器 还 会 给 定 一 个 名 称 〈 在 
本 例 下 ， 通 常 是 数字 形式 ) ， 以 便 可 以 在 与 其 他 ANTS 航天 器 和 地 球 通信 时 自身 
识别 。 

对 于 视点 整合 ，ANTS 的 目标 也 将 由 ANTS 的 X 机 视图 指定 。 在 此 突出 显示 
目标 以 表示 在 其 他 视图 中 也 被 引用 。 下 面 给 出 领导 者 的 通信 规范 并 表明 在 其 他 视 
图 中 使 用 的 规范 和 变量 。 
3.4.1.1 领导 者 规范 

领导 者 航天 器 规范 由 通信 进程 和 智能 进程 组 成 : 


Leader, = LEADER_COM,, || ||LEADER_INTELLIGENCE, ,as mode! 


通信 进程 ，LEADER_COM， 用 于 规范 在 与 其 他 航天 器 和 地 球 进行 通信 时 的 
航天 器 行为 ， 并 规范 航天 器 之 间 的 协议 。 第 2 个 进程 ，LEADER_INTELLIGENCE， 
表示 领导 者 智能 ， 即 保证 航天 器 及 其 环境 的 目标 和 模型 ， 并 规范 运行 过 程 中 如 何 
修改 目标 和 模型 。 对 于 上 述 的 每 个 进程 ， 一 个 重要 参数 是 航天 器 组 标识 符 ， 而 其 
他 参数 分 别 设置 存储 会 话 〈 开 始 时 为 空 ) 、 目 标 和 模型 。 在 X 机 规范 中 指定 这 些 
目标 和 模型 ， 而 LEADER_INTELLIGENCE 进程 的 推理 部 分 在 WSCCS 规范 中 指定 。 

下 面 给 出 领导 者 通信 进程 中 的 规范 。 
3.4.1.2. 领导 者 通信 规范 

一 个 领导 者 航天 器 可 接收 来 自 另 一 个 领导 者 、 信 使 、 工 人 或 地 球 的 消息 。 若 
来 自 其 他 发 送 者 的 消息 中 包含 错误 信息 ， 则 返回 该 消息 〈 假 设 具 有 一 种 保证 错 
误 消 息 返回 的 机 制 ， 从 而 导致 无 限 循环 ) 。 假 设 从 另 一 个 航天 器 中 继 的 消息 标记 
为 来 自 于 最 初 发 送 者 ， 而 非 信使 。 领 导 者 还 会 维持 一 组 持久 消息 来 追踪 当前 的 会 
话 状态 。 领 导 者 可 请 求 获得 其 他 航天 器 状态 ， 移 动 到 新 位 置 ， 更 改 目标 ， 或 返回 
特定 数据 。 另 外 ， 还 应 发 送 给 其 他 航天 器 类 似 行为 的 请 求 信息 。 

通过 WSCCS, X 机 和 Unity 逻辑 来 规范 领导 者 通信 ， 并 在 进行 通信 时 ， 根 据 
推理 状态 或 进程 状态 来 改变 状态 。 另 外 ， 如 果 通 信 时 ， 在 WSCCS、X 机 或 Unity 
逻辑 规范 中 发 生 任 一 所 列 动作 ， 则 会 发 生 从 通信 状态 到 推理 状态 或 进程 状态 的 变 
化 。 再 次 利用 突出 显示 来 表明 在 其 他 视图 中 的 规范 。 以 下 每 个 CSP 规范 的 相交 
还 可 作为 迁移 到 WSCCS、X 机 或 Unity 逻辑 有 限 状 态 机 的 一 种 行为 。 

以 下 是 领导 者 通信 的 顶层 规范 : 

LEADER COM, = leader. in? msg— 

case LEADER. MESSAGE, ,,, msg 
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if sender (msg) =LEADER 
MESSENGER, MESSAGE, sonr mas 
if sender (msg) =MESSENGER 
WORKER. MESSAGE, ,,, msg 

if sender (msg) = WORKER 
EARTH. MESSAGE, onv, msg 

if sender ( msg) - EARTH 
ERROR MESSAGE, ono, msg 


otherwise 


上 述 表 明 一 个 领导 者 可 能 接收 到 的 来 自 其 他 航天 器 的 消息 类 型 。WSCCS、X 
机 和 Unity 逻辑 视图 将 上 述 “LEADER_MESSAGE”、“MESSENGER_MESSAGE”、 
“WORKER_MESSAGE”、“EARTH_MESSAGE” 和 “ERROR_MESSAGE” 定 义 为 
从 推理 状态 或 进程 状态 转换 为 通信 状态 的 行为 。Unity 逻辑 的 规范 中 也 有 表示 传 
递 消息 条 件 的 谓词 。 突 出 显示 上 述 描 述 以 突出 显示 与 男 一 个 视图 的 链接 。 

下 面 进程 进一步 描述 了 其 他 领导 者 所 接收 的 消息 。 由 其 他 领导 者 发 送 的 消息 
可 能 为 两 种 类 型 之 一 : 请 求 或 信息 。 可 能 会 为 获得 领导 者 模型 或 目标 信息 、 资 源 
信息 或 状态 信息 而 发 布 请 求 。 消 息 也 是 一 种 信息 ， 其 中 包含 有 关 智 能 体 模型 新 目 
标 或 新 信息 的 数据 (如 一 个 新 发 现 或 来 自 地 球 的 消息 ) 。 该 信息 需要 由 智能 进程 
和 模型 进程 来 检验 ， 以 确定 是 否 需要 更 新 目标 或 模型 。 由 于 X 机 也 能 规范 目标 
和 模型 ， 因 此 每 个 引用 都 链接 到 X 机 规范 : 


LEADER. MESSAGE, son = 

case LEADER INFORMATION, 
if content (msg) = information 

LEADER REQUESTS, . 
if content (msg) = request 

LEADER RECEIVE, ., 
if content (msg) = reply. to. request 

ERROR MESSAGE, on, ns 


otherwise 
上 述 每 个 子 进程 的 进一步 规范 如 下 : 


LEADER INFORMATION, „„ = 
leader model! (NEW INFO, msg) 
—4goals channel! (NEW INFO, msg) 


conv ,msg 


ony ,msg 


nv, msg 
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—LEADER. COM, son 
如 果 消 息 为 新 信息 ， 那 么 就 应 将 信息 发 送 到 智能 体 的 代理 部 分 以 检查 是 否 应 
该 更 新 目标 ， 以 及 发 送 到 智能 体 的 模型 部 分 以 检查 是 否 需要 更 新 模型 。 再 次 强 
调 ， 由 于 在 其 他 视图 (X 机 ) 中 已 定义 模型 和 目标 以 及 通信 造成 在 WSCCS、X 
机 和 Unity 逻辑 规范 中 状态 改变 ， 因 此 突出 显示 上 述 过 程 : 
LEADER REQUESTS, sons msg = 
case LEADER_STATUS_REQ 
if content ( msg) = status request 
LEADER INFO. REQ, conv msg 
if content (msg) = info. request 
LEADER RESOURCE REQ., ,msg 
if content (msg) = resource, request 
ERROR MESSAGE, ony msg 


otherwise 


如 果 消息 为 一 个 请 求 ， 则 根据 请 求 类 型 ， 执 行 不 同 的 进程 。 一 个 智能 体 
(如 工人 ) 可 能 会 请 求 获得 航天 器 状态 信息 、 领 导 者 目标 或 模型 信息 ， 或 资源 信 
息 〈 如 在 领导 者 指挥 下 工人 应 形成 一 个 小 组 来 调查 一 个 特定 小 行星 ， 或 应 重新 
定位 一 个 信使 以 完成 通信 功能 ) 。 由 于 该 规范 是 底层 规范 的 抽象 ， 因 此 并 不 影响 
其 他 视图 中 的 规范 : 


LEADER STATUS REQ, ony msg = 
leader;! reply (msg, current status () ) 
—LEADER COM, von 
如 上 所 述 ， 如 果 为 状态 请 求 ， 则 通过 利用 一 个 状态 检索 的 标准 函数 ， 将 航天 
器 当前 状态 返回 请 求 方 。 规 范 中 的 leader,| reply 是 一 种 导致 WSCCS、X 机 和 
Unity 逻辑 规范 中 状态 改变 的 通信 : 
LEADER_INFO_REQ, „n ny = 
case goals_channel;! (REQUEST, msg)—>LEADER_COM, „on 
if content (msg) = goals_request 
leader model;! (REQUEST, msg) LEADER COM, sn, 
if content (msg) = model request 
ERROR MESSAGE, sons 


otherwise 


对 于 LEADER INFO. REQ 进程 ， 如 果 为 领导 者 目标 信息 请 求 ， 则 将 该 消息 
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发 送 到 领导 者 智能 进程 以 检索 该 信息 ， 然 后 返回 到 请 求 者 。 如 果 为 领导 者 模型 信 
息 请 求 ， 则 将 该 请 求 发 送 到 领导 者 模型 进程 ， 然 后 将 模型 信息 返回 到 请 求 者 。 目 
标 和 模型 作为 X 机 规范 中 的 一 部 分 ， 且 通信 会 造成 在 WSCCS、 aiii 
规范 中 的 状态 改变 : 
LEADER. RESOURCE. REQ, conn = 
goals_channel,! (RESOURCE, msg) 
—LEADER COM, von 
对 于 资源 请 求 ， 必 须 检 查 领 导 者 的 目标 以 确定 放弃 该 资源 是 否 会 影响 领导 者 
的 当前 目标 。 因 此 ， 将 该 消息 发 送 到 智能 进程 来 检查 当前 目标 ， 更 新 其 目标 和 模 
型 (在 放弃 资源 的 情况 下 ) ， 并 适当 回复 请 求 者 。 突 出 显示 的 过 程 表 明 在 X 机 视 
图 指定 目标 ， 且 通信 会 导致 WSCCS、X 机 和 Unity 逻辑 规范 中 的 状态 变化 : 


LEADER RECEIVE, me = 

case LEADER_STATUS_RECEIVED, ms 

if content (msg) = status returned 
LEADER INFO RECEIVED, sono, msg 

if content (msg) = info. returned 
LEADER, RESOURCE RECEIVED, sonu, mse 

if content (msg) = resource request. return 
ERROR, MESSAGE, 


otherwise 


在 对 其 他 实体 发 送 一 个 请 求 后 ， 领 导 者 将 接收 状态 、 信 息 或 资源 请 求 的 返回 
消息 。 上 述 LEADER RECEIVE 是 处 理 返回 消息 的 进程 。 这 些 消 息 必 须发 送 到 领 
导 者 的 审议 部 分 ， 由 此 才能 更 新 领导 者 的 目标 和 模型 。 通 信 改 变 了 其 他 视图 中 的 
状态 机 ， 且 在 Unity 逻辑 规范 中 也 定义 了 从 其 他 航天 器 接收 消息 的 条 件 : 


LEADER STATUS RECEIVED, on ug = 
goals channel,! (STATUS RECEIVED, msg) 
—LEADER COM, con 


当 领 导 者 接收 到 来 自 另 一 领导 者 的 状态 消息 时 ， 执 行 LEADER. STATUS. RE- 
CEIVED 进程 。 在 此 情况 下 ， 将 消息 发 送 到 包含 该 消息 的 目标 过 程 ， 以 便 可 更 新 
目标 和 模型 。 如 果 状 态 表明 工人 无 法 执行 部 分 功能 ， 则 需要 更 新 该 目标 。 突 出 显 
示 该 过 程 以 表明 X 机 视图 中 的 规范 : 


LEADER INFO RECEIVED, , 


onv,msg ^. 


goals channel! (/NFO RECEIVED, msg) 


i,conv,msg 
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—ZLEADER COM, son 

当 领 导 者 接收 到 来 自 另 一 领导 者 的 信息 消息 时 ， 执 行 LEADER, INFO. RE- 
CEIVED 进程 。 同 上 ， 将 消息 发 送 到 目标 进程 ， 以 检查 是 否 需 要 更 新 目标 和 模 
型 。 同 时 突出 显示 该 过 程 以 表明 不 同 视图 CX BL) 中 的 规范 : 

LEADER RESOURCE RECEIVED, ony msg = 

goals channel,! (RESOURCE RECEIVED, msg) 
—LEADER COM, coy 

根据 上 述 进程 ， 当 执行 LEADER RESOURCE. RECEIVED 进程 时 ， 消 息 发 送 
到 领导 者 的 目标 进程 ， 以 确定 是 否 更 新 目标 和 模型 ， 如 果 需 要 则 采取 相应 动作 。 
突出 显示 该 过 程 以 表明 不 同 视 图 (X 机 ) 中 的 规范 : 

ERROR MESSAGE, son me = 

messenger;! return (msg, error) 
—LEADER COM, oon, 

如 果 消 息 不 能 与 任何 其 他 交互 匹配 ， 则 向 消息 发 送 航天 器 返回 一 个 错误 消 
息 。 突 出 显示 该 错误 消息 ， 因 为 通信 会 导致 WSCCS、X 机 和 Unity 逻辑 视图 中 状 
态 改变 。 

从 信使 发 送 到 领导 者 的 消息 和 从 工人 发 送 到 领导 者 的 消息 具有 与 上 述 类 似 的 
规范 。 参 见 文 献 [34, 40, 41], 


3.4.2 WSCCS 简 述 


为 建立 ANTS 中 的 领导 者 航天 器 模型 ,采用 一 种 进程 代数 WSCCS 时 应 考虑 : 
e 领导 者 的 可 能 状态 (智能 体 ); 
日 使 得 智能 体 “ 位 于 ” 某 些 状态 的 各 个 智能 体 状 态 中 的 动作 ; 
日 为 智能 体 定义 的 每 个 动作 的 相对 频率 ; 
e 为 智能 体 定义 的 每 个 动作 的 优先 级 。 
3.4.2.1 动作 

表 3. 1 给 出 了 领导 者 的 动作 、 智 能 体 状 态 和 动作 优先 级 。 所 有 这 些 动作 都 体 
现在 其 他 规范 视图 中 。 

由 于 规范 中 的 状态 部 分 和 X BL, Unity 逻辑 规范 类 似 ，WSCCS 中 状态 的 任何 
变化 都 能 影响 X 机 规范 中 的 内 存 和 状态 变化 以 及 Unity 逻辑 中 的 状态 机 ， 并 受到 
Unity 逻辑 谓词 的 影响 。 上 述 强调 的 动作 会 导致 按照 CSP 视图 中 的 规范 迁移 到 通 
信 状 态 ， 并 表明 CSP 规范 何 时 会 使 得 数据 通过 CSP 通道 。 此 外 ，Unity 逻辑 的 谓 

, 词 指定 其 应 用 的 前 提 条 件 。 推 理 和 处 理 部 分 与 规范 中 LEADER_INTELLIGENCE 的 
CSP 规范 有 关 (在 本 书 中 并 未 包含 ， 可 参见 文献 [34, 40, 41])。 
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表 3.1 智能 体 状 态 和 动作 





智能 体 状态 导致 智能 体 状 态 变化 的 动作 f p 
通信 识别 

发 送 工 人 消息 50 2 

发 送 领导 者 消息 50 2 

发 送 错误 消息 1 1 

接受 工人 消息 50 2 

接收 领导 者 消息 50 2 

接收 错误 消息 1 1 

推理 推理 审议 50 2 

推理 响应 50 2 

处 理 排序 和 存储 处 理 17 2 
生成 处 理 17 

预测 处 理 17 2 

诊断 处 理 16 2 

恢复 处 理 16 2 

修复 处 理 17 2 





继续 采用 WSCCS 规范 ， 根 据 表 3. 1 中 的 给 定 信息 ， 定 义 智能 体 不 同 状 态 : 
AgentD —n,:; a. AgentA+n,; b. AgentB+n,; c. AgentC 

式 中 ，m 是 形式 no^ WAL, n 为 动作 a 的 相对 频率 , k 表示 动作 a 的 优先 级 ， 
将 使 得 智能 体 变 为 智能 体 4。 

另外 ， 还 表示 在 可 能 动作 之 间 的 一 种 选择 。 由 此 ， 智 能 体 刀 可 选择 执行 如 
Ea, HERE D 变 为 智能 体 4。 智 能 体 D 以 频率 n 和 优先 级 上 进行 该 选择 。 或 
EREE D 可 选择 执行 动作 4b 等 。 利 用 该 符号 ， 领导 者 具有 如 下 表示 的 智能 体 
状态 : 

Communicating = 

50°: Reasoning Deliberative. Reasoning 

+50% : Reasoning Reactive. Reasoning 

+50w : Reasoning Deliberative. Reasoning 

*17o!: Processing Sorting And Storage. Processing 

*17o!: Processing Generation. Processing 

* 170: Processing Prediction. Processing 


+16w*: Processing Diagnosis. Processing 
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+16w*: Processing Recovery. Processing 


+17w'; Processing Remediation. Processing 

根据 这 种 表示 ， 当 处 于 通信 状态 时 ， 领 导 者 可 选择 (tW) 执行 以 下 集合 
中 的 任何 动作 : 

| ReasoningDeliberative, ReasoningReactive , 

ProcessingSortingAndStorage , ProcessingGeneration , 

ProcessingPrediction, ProcessingDiagnosis , ProcessingRecovery , 


ProcessingRemediation | 


并 且 通 信和 领导 者 将 以 25% 的 概率 (上 述 所 有 总 频率 ) 执行 ReasoningDeliber- 
ative， 且 给 定 该 动作 的 优先 级 为 3。 上 述 表示 的 第 2 项 说 明 通 信和 领导 者 以 相同 
25% 的 概率 执行 ReasoningReactive 且 优 先 级 也 为 3。 符 号 + 表示 通信 和 领导 者 将 在 
各 种 允许 动作 之 间 进 行 选择 ， 这 种 选择 是 基于 每 个 允许 动作 的 频率 和 优先 级 的 。 
WSCCS 是 唯一 一 个 考虑 状态 变化 的 概率 和 优先 级 的 视图 。 概 率 和 优先 级 可 允许 
计算 系统 的 稳定 状态 ， 以 及 何 种 应 急行 为 。 

对 于 一 个 给 定 智能 体 ， 迁 移 语 义 定义 了 有 效 动 作 序 列 ， 并 允许 通过 一 个 节点 
表示 智能 体 ， 节 点 之 间 的 连 线 (边界 ) 表示 权重 和 动作 的 迁移 图 来 将 智能 体 解 
释 为 有 限 状 态 自动 机 。 

智能 体 迁 移 定义 为 


D| la, b, c} =< AT fa, b, c] 

A, a[n/n] 为 动作 a 的 发 生 概 率 ; n 为 可 能 动作 a、b、c 相对 频率 之 和 。 

考虑 上 述 迁 移 ， 该 迁移 定义 表示 智能 体 D 只 能 执行 动作 a, b 或 c。 智 能 体 
D 执行 动作 a 的 概率 为 [n/n] ， 且 动作 结果 是 智能 体 D 变 为 仅 执 行动 作 a. b 
或 的 智能 体 A. 

以 下 是 关于 群体 通信 部 分 (Communicating) 的 规范 。 其 余 的 通信 部 分 以 及 
处 理 和 推理 部 分 均 类 似 : 

Communicating | | ReasoningDeliberative, ReasoningReactive , 

ProcessingSortingAndStorage, ProcessingGeneration , 


ProcessingPrediction, ProcessingDiagnosis, ProcessingRecovery , 





3 
ReasoningReliverative [ x "i ] 
ProcessingRemediation | 一 > 


Reasoning | | SendMessageWorker, SendMessageWorker VIAMessenger , 
SendMessageLeader , SendMessageLeaderVIAMessenger , 
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SendMessageError, ReceiveMessageWorker , 
ReceiveMessageWorkerVIAMessenger , ReceiveMessageLeader , 
ReceiveMessageLeaderVIAMessenger , ReceiveMessageError , 
Processing SortingAndStorage , ProcessingGeneration , 
ProcessingPrediction, ProcessingDiagnosis, ProcessingRecover , 


ProcessingRemediation | 
上 述 通 信和 领导 者 的 表示 规范 了 对 于 动作 集合 


| ReasoningDeliberative, ReasoningReactive , 
ProcessingSortingAndStorage, ProcessingGeneration, 
ProcessingPrediction, ProcessingDiagnosis, ProcessingRecovery, 


ProcessingRemediation | 


通信 和 领导 者 将 以 50% 的 概率 且 优 先 级 为 3 来 选择 动作 ReasoningDeliberative , 
且 在 执行 动作 时 ， 通 信和 领导 者 将 转换 为 推理 领导 者 ， 以 允许 从 如 下 给 出 的 动作 集 
中 做 出 选择 ， 然 后 迁移 到 男 一 状态 : 

| SendMessageWorker, SendMessageWorkerVIAMessenger, 

SendMessageLeader, SendMessageLeaderVIAMessenger , 

SendMessageError, ReceiveMessageWorker , 

ReceiveMessageWorkerVIAMessenger , ReceiveMessageleader , 

ReceiveMessageLeaderVIAMessenger, ReceiveMessageError , 

ProcessingSortingAndStorage, ProcessingGeneration , 

ProcessingPrediction, ProcessingDiagnosis, ProcessingRecovery , 


ProcessingRemediation | 


对 于 其 他 视图 ， 每 次 迁移 时 ，CSP、X 机 和 Unity 逻辑 规范 将 表明 如 何 进 行 
通信 以 及 通信 条 件 。 
3.4.2.2 迁移 图 

一 个 由 ANTS 领导 者 航天 器 状态 迁移 推导 而 得 的 迁移 图 如 图 3. 2 所 示 [节点 
表示 智能 体 ， 节 点 之 间 的 连 线 (边界 ) 代表 权重 和 动作 ] 。 


3.4.3 Xl 


X 机 定义 为 以 下 元 组 : 
L= (Input, Memory, Output, Q, d, F, start, mo) 
式 中 ， 元 组 元 素 定 义 如 下 : 
e Input, Memory 和 Output 为 数据 集 ; 
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图 3.2 WSCCS 规范 中 显示 权重 和 动作 的 迁移 图 


e Q 为 一 个 有 限 状态 集 ; 

e 四 是 一 组 (部 分 ) 迁移 函数 ， 其 中 每 个 迁移 函数 映射 为 Memory x Input 
Output x Memory ; 

e FAF- ARER, F: 0x0; 

e start e Q 为 初始 状态 ; 

* m, e Memory 是 内 存 初始 值 。 

对 于 ANTS 规范 ， 定 义 X 机 组 件 如 下 : 

e Input = | worker, messenger, leader, error, Deliberative, Reactive, SortAnd- 
Store, Generate, Predict, Diagnose, Recover, Remediate} | 。 

e 内 痉 记 为 一 个 元 组 网 = (Goals, Model), # F Goals 4$ 3E ££ 4- A ds , Model 
RPA FA RAG SS A HEE! , 936 AF I (Goals,, Model) 表示 。 当 目标 和 / 
或 模型 发 生变 化 时 ,将 新 的 元 组 表示 为 m’ = (Goals', Model’) 。 

© Output = | SentMessageWorker , SentMessageMessenger , 

SentMessageLeader , SentMessageError, ReceivedMessageWorker , 

ReceivedMessageMessenger , ReceivedMessageLeader , 

ReceivedMessageError , ReasonedDeliberatively , 

ReasonedReactively , ProcessedSortingAndStoring , 

ProcessedGeneration ,  ProcessedPrediction ,  ProcessedDiagnosis , 

ProcessedRecovery , | ProcessedRemediation | 。 


e Q = | Start, Communicating, Reasoning, Processing} 。 
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e & = | SendMessage, ReceiveMessage, Reason, Process} 函数 在 表 3.2 中 


表 3.2 指挥 者 的 状态 和 迁移 





状态 Q 智能 体 状态 D Q'-F (Q, 9) 

开始 发 送 消息 通信 
接收 消息 通信 

推理 推理 

处 理 处 理 

发 送 消 息 通信 

通信 接收 消息 通信 
推理 推理 


为 在 这 些 术 语 中 观察 领导 者 航天 器 ， 参照 表 3. 3 ， 描 述 状 态 、 迁 移 函 数 以 及 
相关 的 输入 、 输 出 和 存储 单元 。ANTS 领导 者 航天 器 的 一 个 迁移 图 如 图 3. 3 所 示 
[节点 表示 状态 ， 贡 点 之 间 的 连 线 (边界 ) 表示 迁移 函数 ] 。 


表 3.3 ANTS 的 角色 : 领导 者 航天 器 








状态 迁移 函数 F(Q, ©) ”函数 定义 (m, o) = 
开始 发 送 消息 ® (m, Worker) =(m', SentMessageWorker ) 


$ (m, Messenger) =(m', SentMessageMessenger ) 


® (m, Leader) =(m', SentMessageLeader ) 
$B (m, Error) 2 (m', SentMessageError ) 
通信 接收 消息 $B (m, Worker) =(m', SentMessageWorker ) 
® (m, Messenger) = (m', SentMessageMessenger) 
P (m, Leader) = (m', SentMessageLeader ) 
Q (m, Error) = (m', SentMessageError) 
推理 推理 D (m, Deliberative) =(m', ReasonedDeliberatively ) 
d (m, Reactive) =(m', ReasonedDeactively ) 
处 理 处 理 P (m, SortAndStore) = (m', ProcessedSortingAndStoring ) 
P (m, Generate) =(m', ProcessedGeneration ) 


e 
E 


Predict) = (m', ProcessedPrediciton ) 


Diagnose) = (m', ProcessedDiagnosis ) 


e s 
SF 


Recover) = (m', ProcessedRecovery ) 


(m, Remediate) = (m', ProcessedRemediation ) 
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发 送 消息 接收 消息 推理 处 理 
图 3.3 作为 X 机 的 领导 者 航天 器 迁移 图 





对 于 视图 规范 的 相互 作用 ， 上 述 所 有 情况 都 会 影响 CSP 规范 、WSCCS 规范 ， 
或 Unity 逻辑 规范 。 由 于 状态 相同 (除了 开始 状态 )， 任 何 时 候 在 X 机 规范 中 的 
状态 变化 、WSCCS 规范 中 的 优先 级 和 概率 ， 以 及 Unity 逻辑 状态 机 和 谓词 都 应 进 
行 检查 。 由 于 之 间 具 有 相似 之 处 ， 该 规范 可 与 增加 的 目标 和 模型 数据 相 结 合 。 对 
于 CSP 视图 ， 在 通信 状态 变化 的 任何 时 候 ，CSP 中 的 通信 规范 将 会 作用 ， 尤 其 
是 通道 上 传送 的 数据 。 同 理 ， 对 于 Unity HH, RARE, BRAK 
迁移 是 否 发 生 。 


3.4.4 Unity 248 


在 利用 Unity 逻辑 来 建立 ANTS 的 领导 者 模型 时 ， 认 为 领导 者 状态 与 在 
WSCCS, X 机 以 及 其 他 基于 状态 机 的 规范 语言 中 的 状态 相同 。 在 Unity 逻辑 中 ， 
将 重点 考虑 领导 者 的 状态 以 及 使 得 领导 者 到 达 这 些 状 态 所 采取 的 动作 ， 而 所 用 符 
号 与 经 典 逻 辑 中 非常 相似 。 

谓词 定义 为 表示 将 领导 者 置 于 不 同 状态 的 动作 ( 见 表 3.4)。 然 后 ， 这 些 谓 
词 表示 如 果 为 真 ， 意 味 着 领导 者 已 执行 使 其 到 达 相 应 状态 的 动作 ( 见 表 3.5)。 

可 利用 下 列 声 明 来 规范 领导 者 程序 的 通信 部 分 (推理 和 处 理 类 似 ) : 

[ Communicating | ReasoningDeliberative ( Leader) | Reasoning | 

[ Communicating | ReasoningReactive ( Leader) [ Reasoning | 

[ Communicating | ProcessingSortingAndStorage (Leader) | Processing | 
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[ Communicating | ProcessingGeneration (Leader) [ Processing | 
[ Communicating | ProcessingPrediction ( Leader) | Processing | 


表 3.4 X 机 迁移 图 中 的 谓词 和 含义 (一) 


i 语 





"o XM 





SendMessage (Leader, Worker) 
SendMessageVIAMessenger (Leader, Worker) 
SendMessage (Leader, Leader) 


SendMessageVIAMessenger (Leader, Leader) 


SendMessageError ( Leader) 

ReceiveMessage (Leader, Worker) 
ReceiveMessageVIAMessenger (Leader, Worker) 
ReceiveMessage (Leader, Leader) 


ReceiveMessageVIAMessenger (Leader, Leader) 


ReceiveMessageError ( Leader) 
ReasoningDeliberative ( Leader) 
ReasoningReactive ( Leader) 
ProcessingSortingAndStorage ( Leader) 
ProcessingGeneration ( Leader) 


ProcessingPrediction ( Leader) 


ProcessingDiagnosis ( Leader) 
ProcessingRecovery ( Leader) 
ProcessingRemediation ( Leader) 


领导 者 向 工人 发 送 一 条 消息 

领导 者 通过 信使 中 继 向 工人 发 送 一 条 消息 
领导 者 向 另 一 个 领导 者 发 送 一 条 消息 

领导 者 通过 信使 中 继 向 另 一 领导 者 发 送 一 条 


消息 


领导 者 发 送 一 条 错误 消息 

领导 者 从 工人 处 接收 一 条 消息 

领导 者 通过 信使 中 继 从 工人 处 接收 一 条 消息 
领导 者 从 另 一 领导 者 处 接收 一 条 信息 

领导 者 通过 信使 中 继 从 另 一 领导 者 处 接收 一 条 


信息 


领导 者 接收 一 条 错误 信息 

领导 者 慎 思 式 推理 

领导 者 反应 式 推理 

领导 者 处 理 数据 排序 、 分 类 和 /或 存储 

领导 者 通过 模型 生成 进行 处 理 

领导 者 通过 预测 小 行星 特性 或 预测 资源 (工人 


和 通信 ) 可 用 性 进行 处 理 


领导 者 为 诊断 进行 处 理 
领导 者 为 恢复 进行 处 理 
领导 者 为 补救 进行 处 理 


表 3.5 X 机 迁移 图 中 的 谓词 和 含义 (二) 


程序 状态 


如 果 为 真 ， 导 致 程序 状态 的 语句 


SendMessage (Leader, Worker) 
SendMessageVIAMessenger (Leader, Worker) 
SendMessage (Leader, Leader) 
SendMessageVIAMessenger (Leader, Leader) 
SendMessageError (Leader) 


通信 ReceiveMessage (Leader, Worker) 
ReceiveMessageVIAMessenger (Leader, Worker) 
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(XE) 





通信 ReceiveMessage (Leader，Leader) 
ReceiveMessageVIAMessenger ( Leader，Leader) 
ReceiveMessageError (Leader) 


推理 ReasoningDeliberative (Leader) 
ReasoningReactive (Leader) 
ProcessingSortingAndStorage ( Leader) 
ProcessingGeneration (Leader) 


处 理 ProcessingPrediction (Leader) 
ProcessingDiagnosis ( Leader) 
ProcessingRecovery (Leader) 
ProcessingRemediation (Leader) 


[ Communicating | ProcessingDiagnosis (Leader) (| Processing | 
| Communicating | ProcessingRecovery (Leader) [ Processing | 


[ Communicating | ProcessingRemediation (Leader) | Processing | 


接 下 来 ，Unity 逻辑 提供 一 个 等 价 于 命题 逻辑 的 逻辑 语法 ， 用 于 推理 其 中 所 
隐 含 的 谓词 和 状态 ， 以 及 定义 执行 数学 计算 、 统 计 计算 和 其 他 简单 计算 的 规范 。 
对 于 视图 规范 ， 谓 词 可 定义 迁移 发 生 的 条 件 。 上 述 规范 的 状态 机 与 WSCCS 和 X 
机 的 状态 机 类 似 ， 可 相互 结合 。 


3.5 小 结 


该 项 目 表 明 集 成 CSP、WSCCS、X 机 和 Unity 逻辑 的 形式 化 方法 如 何 规范 和 
预测 ， 如 ANTS 任务 的 基于 群体 任务 的 应 急行 为 。 由 于 CSP 可 提供 进程 间 通 信 视 
图 、X 机 可 提供 状态 机 和 内 存 视图 、WSCCS 可 提供 概率 和 优先 级 视图 以 及 Unity 
逻辑 可 提供 逻辑 视图 ， 利 用 视图 集成 ， 这 些 形式 化 方法 可 提供 验证 航天 器 群 或 其 
他 基于 群体 的 系统 所 需 的 条 件 。 

这 4 种 形式 化 方法 之 间 具 有 重 又 ， 特 别 是 WSCCS、X 机 和 Unity 逻辑 在 状态 
机 方面 的 重大 。 因 此 , 保护 集成 或 单 片 集成 可 提供 一 种 更 加 集成 的 规范 。 单 片 集 
成 是 首先 返回 基础 形式 (通常 为 语言 的 一 阶 逻 辑 定义 )， 然 后 与 基础 形式 相 融 
合 ， 并 重新 定义 形式 语义 。 对 于 保护 集成 ， 通 过 保留 基础 形式 而 松散 集成 1。 
尽管 在 该 方向 上 的 预算 和 时 间 不 足以 完成 研究 工作 ， 但 这 种 类 型 的 集成 可 减少 视 
图 集成 中 的 重 倒 ， 并 提供 更 紧凑 的 形式 化 集成 方法 ， 如 上 所 述 ， 充 分 利用 各 个 形 
式 化 方法 的 优势 来 实现 互补 。 
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4.1 简介 


全 国 铁路 系统 是 由 不 自主 开发 基于 计算 机 系统 的 运输 服务 供应 商 进 行 管 理 
的 。 相 反 ， 只 是 作为 从 外 部 供应 商 购买 的 系统 集成 商 。 因 此 ， 服 务 供应 商 存在 着 
子 系统 收购 和 管理 的 集成 问题 。 所 以 ， 这 种 组 织 需要 具有 清晰 明确 的 、 尽 可 能 形 
式 化 的 规范 要 求 。 无 论 是 买方 还 是 供应 商都 必须 同意 执行 严格 的 验收 程序 ， 根 据 
验证 和 确认 进行 功能 和 安全 评估 ， 并 执行 安全 审批 机 制 。 此 外 ， 对 于 允许 监控 系 
统 开发 过 程 以 及 便于 操作 和 维护 ， 统 一 且 尽 可 能 标准 化 的 文件 是 必 不 可 少 的 。 根 
据 相 应 的 国家 及 国际 法 律 ， 安 全 第 一 的 铁路 系统 必须 在 程序 设计 、 配 置 和 维护 上 
满足 国际 标准 ， 这 样 就 使 得 采购 任务 因 要 求 严格 而 变 得 更 加 困难 。 

通常 认为 铁路 信号 形式 化 通常 被 认为 是 采用 形式 化 方法 的 最 有 成 效 的 干预 领 
域 之 一 。 在 该 领域 已 有 许多 关于 有 关 形 式 化 规范 和 验证 技术 的 成 功 应 用 的 案例 已 
经 在 这 个 领域 广 为 流 传 。 最 近 一 次 在 Dines Bj$rner "的 一 篇 相关 综述 文章 中 采用 
了 大 量 参考 文献 ( 仍 远 不 完全 ) 来 表明 形式 化 方法 在 该 领域 的 应 用 范围 ， 其 中 
包括 182 篇 文献 以 及 过 去 两 年 内 的 引用 。 此 外 ， 由 于 保密 原因 ， 还 有 很 多 铁路 公 
司 的 工作 没有 公布 。 

在 铁路 信和 号 方面 成 功 应 用 形式 化 方法 的 原因 主要 有 两 个 方面 : 一 方面 ， 由 于 
其 安全 重要 性 且 无 需 复杂 计算 和 硬性 实时 约束 ， 使 得 研究 人 员 对 铁路 信号 的 形式 
化 方法 产生 浓厚 兴趣 ， 使 其 由 此 使 得 铁路 信号 成 为 一 个 具有 发 展 前 景 的 应 用 领 
域 ; 另 一 方面 ， 在 基于 简单 的 故障 安全 原则 的 基础 上 ， 铁 路 系统 一 直 以 来 具有 高 
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度 的 安全 传统 。 在 引入 计算 机 之 前 ， 大 多 数 信号 系统 均 采用 机 电 设备 ， 在 任何 危 
急 情况 下 ， 通 过 重力 使 得 系统 进入 故障 安全 状态 〈 如 所 有 信号 变 为 红色 ) 。 实 际 
上 ， 由 于 计算 机 没有 重力 ， 即 一 般 而 言 无 法 预测 故障 所 造成 的 影响 ， 因 此 导致 铁 
路 公司 迟 迟 不 接受 计算 机 控制 的 信号 设备 。 运 用 非常 稳定 的 技术 并 要 求 具 有 尽 可 
能 高 的 可 靠 性 ， 是 在 铁路 信号 领域 中 应 用 计算 机 控制 设备 的 关键 因素 。 因 此 ， 认 
为 形式 化 的 安全 证 明 或 验证 是 十 分 必要 的 。 

在 本 章 中 ， 分 析 了 形式 化 方法 在 该 领域 的 实际 工业 应 用 ， 尽 管 尚未 满足 上 述 
成 功 案例 的 要 求 ， 但 在 稳步 提高 。 接 下 来 ， 还 讨论 了 推动 在 工业 中 选择 形式 化 方 
法 的 外 部 条 件 ， 并 按照 适用 于 形式 化 方法 的 程度 ， 对 铁路 信号 设备 进行 分 类 。 在 
此 ， 给 出 了 对 于 该 领域 中 形式 化 方法 应 用 的 一 些 个 人 的 部 分 观点 和 经 验 ， 并 不 打 
算 全 面 介绍 铁路 信号 领域 中 形式 化 方法 的 应 用 情况 。 特 别 是 ， 只 研究 了 欧洲 铁路 
信和 号 方面 ， 这 是 形式 化 方法 在 铁路 领域 最 重要 的 应 用 场合 ， 发 现在 过 去 10 年 中 
发 生 了 巨大 变化 。 

本 章 的 结构 如 下 : 在 4.2 节 中 ,讨论 了 欧洲 电工 标准 化 委员 会 (CENELEC) 
关于 铁路 信号 软件 发 展 的 EN50128 标准 ; 在 4.3 节 中 ,介绍 了 不 同形 式 化 方法 
在 铁路 信号 中 适用 性 的 案例 比较 研究 ; 4.4 节 专 门 研究 了 形式 化 方法 ， 即 B 方法 
在 铁路 领域 的 应 用 ; 4. 5 节 着 重 于 在 铁路 信号 设备 上 应 用 形式 化 方法 ， 可 分 为 列 
车 控制 系统 和 联 锁 系统 ; 最 后 ，4. 6 节 给 出 了 一 些 结论 。 


4.2 CENELEC 标准 


由 CENELEC 发 布 的 EN50128 标准 “1 ， 主 要 是 关于 “铁路 控制 和 保护 系统 
的 软件 ”开发 ， 并 作为 铁路 信号 设备 制造 商 在 欧洲 的 主要 参考 依据 ， 这 些 标准 
可 扩展 到 其 他 地 区 和 铁路 行业 的 〈 其 他 安全 相关 的 ) 其 他 部 门 。 

EN50128 标准 是 有 关 铁路 控制 和 保护 系统 安全 系列 文件 中 的 一 部 分 ， 其 中 定 
义 了 软件 安全 完整 性 等 级 (SSIL) 这 一 关键 概念 。 这 些 标准 表明 在 系统 开发 中 ， 
首要 步骤 之 一 是 通过 风险 评估 过 程 ， 在 相关 风险 等 级 基础 上 ， 为 每 个 组 件 定义 一 
个 安全 完整 性 等 级 (SIL) 。 为 不 同 组 件 分 配 不同 的 SIL， 有 助 于 集中 解决 关键 组 
件 (及 其 生产 成 本 ) SIL 分 为 4 (非常 高 ) 、3 (高 )、2 (中 )、1 ( 低 )、0 (E 
安全 相关 ) 级 。 

EN50128 标准 既 不 是 一 种 精确 的 软件 开发 方法 ， 也 不 是 任何 特殊 的 编程 技 
术 ， 而 是 采用 相对 于 组 件 的 SIL 级 别 评级 的 技术 (从 “禁止 ”到 “强烈 推荐 ” 
和 “强制 要 求 ") 对 大 量 组 件 进行 分 类 。 强 烈 推 荐 具有 较 高 级 别 SIL 的 系统 /组 
件 规范 中 采用 形式 化 方法 (尤其 是 CCS、CSP、HOL、LOTOS、0BJ、 时 态 逻 辑 、 
VDM, Z 和 B 作为 示例 ) 。 同 时 ， 也 强烈 建议 在 验证 活动 中 采用 形式 化 方法 证 
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明 。 由 于 也 可 接受 其 他 更 传统 的 技术 ， 因 此 都 未 划分 为 强制 要 求 。 但 是 ， 值 得 注 
意 的 是 ， 这 是 第 1 次 (第 1 版 EN50128 日 期 追溯 至 1994 Æ) 在 标准 中 出 现形 式 
化 方法 应 用 的 明显 指示 。 

事实 上 ， 尽 管 已 有 CENELEC 标准 和 成 功 案例 ， 形 式 化 方法 还 未 贯穿 于 整个 
铁路 信号 工业 ， 大 多 数 软件 仍 以 传统 方式 编制 。 这 是 由 于 需要 投资 建立 一 种 形式 
化 方法 的 文化 以 及 高 成 本 的 商业 支持 工具 。 此 外 ， 设 备 在 无 需 应 用 形式 化 方法 的 
条 件 下 能 够 符合 CENELEC 标准 。 通 过 全 面 完整 的 测试 验证 可 认为 符合 EN50128 
标准 。 但 对 于 最 高 级 的 SIL， 标 准 要 求 由 两 个 独立 团队 分 别 进行 独立 的 设计 和 验 
证 。 仅 依靠 测试 ， 使 得 测试 部 门 中 不 太 重 要 〈 因 此 投资 较 少 ) 的 测试 工作 肩负 
大 量 任务 (通常 超过 总 开发 任务 的 50% ) 。 这 对 于 市 场 越 来 越 要 求 兼容 CEN- 
ELEC 标准 的 公司 是 一 种 风险 。 唯 一 的 解决 方案 是 通过 在 规范 和 设计 阶段 引入 形 
式 化 方法 ,将 重任 重新 转移 到 设计 团队 。 公 司 逐 渐 意识 到 这 一 必要 性 ， 且 成 功 案 
例 和 CENELEC 标准 是 提高 这 种 意识 的 一 个 重要 因素 。 


4.3 铁路 信号 系统 软件 采购 


本 节 介 绍 了 米兰 理工 大 学 和 意大利 国家 铁路 局 FS ， 基 础 设施 部 门 〈 并 称 为 
RFI， 意 大 利 铁 路 网 络 公 司 ) 之 间 一 个 联合 项 目的 经 验 。 该 项 目的 目的 是 定义 管 
理 安全 关键 信号 设备 软件 采购 的 流程 和 规则 "1。 这 些 规 则 包括 广泛 使 用 的 设备 、 
控制 信号 和 轨道 跟踪 、 铁 路 /公路 岔口 以 及 列车 运行 。 施 加 了 附加 约束 条 件 的 该 
项 目 目标 如 下 : 

e 涵盖 系统 开发 的 所 有 阶段 ， 从 确定 需求 到 实施 、 最 终 验 证 、 审 核 和 验收 ; 

e 提供 软件 开发 过 程 中 所 采用 的 方法 、 语 言 和 工具 ， 不 偏向 任何 特殊 技术 或 
工具 供应 商 ， 唯 一 的 总 体 要 求 是 技术 合理 性 和 计算 机 科学 中 的 最 新 研究 进展 ; 

e 提供 符合 或 可 接受 的 不 满足 国际 标准 (主要 是 ENSOI28 标准 ， 见 4.2 
T) 的 结果 ; 

e 选择 已 在 工业 中 得 到 成 熟 应 用 ， 具 有 自动 化 工具 支持 ， 并 可 能 获得 铁路 
和 计算 机 技术 领域 的 普通 工程 师 认 可 的 方法 。 

项 目的 主要 工作 小 组 是 由 两 位 来 自 米兰 理工 大 学 从 事 形 式 化 方法 研究 的 专家 
以 及 两 位 来 自 RFI 精通 于 铁路 信号 设备 建 模 和 分 析 的 工程 师 组 成 的 。 在 评估 各 种 
形式 化 方法 时 没有 可 以 采用 的 正规 程序 或 公理 ， 而 是 通过 对 技术 文档 和 科学 文献 
仔细 调查 研究 并 在 使 用 符号 和 工具 的 前 人 经 验 基 础 上 分 析 而 得 的 。 为 验证 所 得 结 
果 ， 并 提供 一 些 经 验 支 持 ， 进 行 了 一 个 包括 简单 信和 号 装置 形式 化 规范 的 小 规模 实 
侈 。 对 各 种 符号 中 的 描述 ， 从 生产 的 人 工 制品 的 紧凑 性 和 可 读 性 进行 比较 ， 这 两 
种 特性 认为 是 有 利于 方法 得 到 实际 应 用 的 最 重要 特性 。 
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根据 所 公布 的 项 目 、 需 求 和 建议 结果 ， 定 制 开发 不 同类 型 的 系统 。 该 项 目的 
主要 贡献 在 于 对 需求 的 规范 、 检 验 和 验证 。 特 别 在 规范 阶段 ， 当 得 到 合适 工具 和 
验证 审核 技术 的 支持 时 ， 建 议 采 用 形式 化 方法 。 在 此 ， 给 出 关于 形式 化 需求 规范 
的 方法 、 工 具 和 符号 的 评估 比较 结果 。 


4.3.1 系统 分 类 


这 些 建议 是 基于 系统 的 3 种 分 类 : 复杂 性 ( 低 、 中 、 高 )、 关 键 性 和 时 序 要 
求 。 复 杂 性 传统 上 是 由 买方 确定 的 ， 而 关键 性 是 根据 应 用 程序 的 SIL. ( 见 4.2 
节 ) 确定 的 。 时 序 要 求 可 分 为 3 类 : 时 间 独 立 、 定 性 时 间 和 定量 时 间 。 时 间 独 
立 类 是 指 系统 没有 任何 特定 的 时 间 限 制 ， 例 如 ， 进 行 纯 数据 或 信号 描述 。 定 性 时 
间 类 是 指 系统 可 以 在 没有 时 刻 和 时 间 间 隔 定量 信息 下 限制 为 按时 间 排 序 的 值 的 动 
作 。 一 些 不 怎么 好 的 实时 系统 属于 这 一 类 : 具有 严格 要 求 和 绑 定 规则 的 系统 ， 但 
设计 为 需 充 分 管理 每 一 个 可 能 的 延迟 事件 、 预 期 事件 或 未 按 预 期 出 现 的 事件 。 定 
量 时 间 类 别 包括 硬 实 时 系统 。 这 些 系统 与 不 完全 可 控 的 过 程 相互 作用 ， 并 不 能 避 
免 可 能 产生 严重 后 果 的 时 序 约束 (而 不 只 是 事件 之 间 的 顺序 关系 ) 的 定量 表示 。 
需要 指出 的 是 ， 定 性 时 间 类 系统 与 所 谓 的 软 实时 系统 完全 不 同 ， 即 系统 中 缺少 一 
些 (定性 表述 的 定量 表示 ) 时 间 约 束 是 不 被 期 望 或 让 人 困扰 的 ， 但 不 会 造成 严 
重 损失 ， 而 且 不 适用 于 必须 具有 大 量 数据 处 理 能 力 的 高 吞吐 量 系统 ， 但 具有 统计 
项 表示 的 时 序 要 求 。 这 是 因为 所 考虑 的 系统 任何 情况 下 在 安全 和 经 济 方面 都 是 非 
常 关键 的 ， 以 至 于 不 允许 没有 时 序 需 求 即使 这 些 要 求 都 是 定性 的 ) 。 


4.3.2 需求 分 析 和 规范 
表 4. 1 表明 根据 系统 的 SIL、 复 杂 性 和 时 序 特 性 ， 给 出 的 规范 和 验证 技术 以 




































































表 4.1 验证 清单 
SIL 复杂 性 时 序 

1,2 [3,4] f | + | 高 | 工业 [| 质量 | 数量 

| — E 是 A * 是 Jè 

无 抽象 * | 是 (3)| * cd x š " 

分 析 有 抽象 r * 是 h * * * * * 

性 能 证 明 一 般 性 * | 是 (3) * * * * | * 

自动 化 程度 * S * * Jj * * * 

语法 检查 是 是 | * 是 是 是 是 
规范 覆盖 度 T T * * * * TORY | Ch) 
验证 准确 度 B y (2) 0 a B 0 B(1) |y (1) 





* 没有 推荐 技术 ,对 所 用 技术 既 不 赞成 也 不 反对 。 

(1) 指示 范围 或 准确 度 是 时 序 部 分 的 最 低 要 求 。 

(2) 在 当前 技术 下 只 是 推荐 ,并 不 是 强制 要 求 采用 准确 度 为 6 的 方法 。 
(3) 在 当前 技术 下 只 是 推荐 采用 ， 并 是 不 强制 要 求 。 
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及 功能 测试 用 例 的 生成 。 

该 表 分 为 4 个 部 分 : 分 析 、 语 法 检查 、 规 范 覆 盖 度 和 验证 准确 度 。 分 析 部 分 
分 为 两 种 规范 验证 行为 : 模拟 或 轨迹 生成 以 及 性 能 证 明 。 中 系统 行为 的 模拟 意味 
着 按时 间 顺 序 生成 (可 能 以 一 种 交互 或 半自动 方式 ) 事件 和 动作 ， 而 轨迹 生成 
意味 着 产生 (可 能 也 是 以 一 种 半自动 方式 ) 系统 的 执行 轨迹 ， 并 自动 验证 这 些 
轨迹 是 否 符合 规范 。 与 模拟 不 同 ， 在 轨迹 生成 中 ， 事 件 和 动作 不 一 定 按时 间 顺 序 
生成 。@) 糙 能 证 明 表 明 如 何在 数学 上 证 明 (通过 逻辑 展示 或 穷 举 分 析 ) 系统 具 
有 安全 、 无 死 锁 等 性 能 。 这 样 的 证 明 可 分 为 4 类 : 无 抽象 、 有 抽象 、 一 般 性 和 自 
动 化 程度 。 CD 无需 条 意味 着 可 以 对 完整 的 系统 规范 进行 证 明 ， 因 此 具有 完全 确 
定性 : 指定 系统 肯定 具有 所 证 明 的 性 能 。 QAR EUR EB SES ARMA 
适当 近似 (抽象 ) 来 进行 证 明 ， 如 忽略 系统 中 的 实际 数据 。 抽 和 象 可 使 得 证 明 更 
加 简单 ， 但 可 能 会 降低 结果 的 准确 性 。 CO 一 般 性 意味 着 可 以 由 用 户 以 一 种 通用 
且 灵 活 的 方式 ， 通 过 使 用 合适 且 充 分 表达 的 数学 符号 来 选择 将 要 证 明 的 性 能 。 
€» 捕 动 化 程度 是 用 于 评价 证 明 工 具 所 提供 的 支持 : OS 表示 至 少 需要 一 种 半 自 
动 支 持 (用 于 支持 证 明正 确 的 验证 支持 , 例如， 通过 准备 证 明 义 务 结构 或 自 
动 证 明 普 通 组 件 和 子 证 明 来 实现 , 但 必须 由 专业 用 户 执行 )， 否 则 可 手动 
证 明 。 

请 法 检查 用 于 表示 是 否 存 在 检查 规范 语法 正确 性 的 工具 支持 。 对 于 规范 覆盖 
度 ，T 表示 完全 覆盖 : 所 有 要 求 都 具有 相同 的 相关 性 ， 因 此 必须 进行 规范 。 否 则 
可 能 出 现 的 情况 是 : 以 一 种 明确 方式 确定 上 且 与 其 他 要 求 完 全 隔离 的 一 些 要求 对 安 
全 没有 任何 影响 ， 且 无 需 形 式 化 规范 。 最 后 ， 验 证 准确 度 测量 验证 要 求 规范 的 准 
确 度 。 为 提高 准确 度 ， 可 选择 的 值 为 : 0 ( 非 正 式 检 查 ， 预 演 ) a (类 型 的 语法 
控制 ， 定 义 之 间 的 一 致 性 和 组 成 规范 的 实体 使 用 ， 即 由 现代 编程 语言 的 编译 器 进 
行 典型 的 静态 控制 ); B (至 少 下 列 之 一 : 人 仿真、 模拟、 轨迹 生成 、 符 号 分 析 、 
可 达 性 分 析 ， 无 死 锁 等 特定 性 能 证 明 、 抽 象 性 能 证 明 ); y (与 8 相同 , 但 至 少 
结合 两 个 不 同性 质 的 技术 ， 并 采用 合适 的 尺度 来 衡量 系统 分 析 的 覆盖 度 ) 8 
(一 般 性 能 的 表述 和 证 明 ) 。 

值得 注意 的 是 ， 表 4. 1 中 的 列 分 别 表 示 不 同系 统 功 能 ， 但 所 列 方法 应 结合 
来 应 用 〈 在 其 他 项 中 ， 采 用 更 苛刻 的 要 求 ) : 例如 ， 对 于 一 个 中 等 复杂 度 并 具有 
定性 时 序 特征 的 系统 ， 所 需 的 验证 准确 度 为 B; 对 于 一 个 复杂 度 较 低 但 非常 关键 
(SIL 为 3 或 4) 的 系统 ， 所 需 的 验证 准确 度 为 y。 

最 后 ， 表 4. 2 表明 表 4. 1 中 所 列 方法 应 用 到 在 当时 项 目 中 广泛 采用 的 一 致 形 
式 ， 且 同时 考虑 两 种 语言 特点 和 可 用 的 支持 工具 。 分 析 符 号 和 形式 化 方法 有 
z'*)  TRIO™) 、 Statecharts'*!_ SDLU?.— UMLU9. LOTOS'9. Petri nets“). 
SCADE'* 和 B0] 。 通 过 对 每 个 符号 、 相 应 方法 和 工具 环境 ， 比 较 表 4. 1 中 要 求 表 
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表 4.2 规范 方法 清单 








SIL Complexity Time 
Ts: 2 3,4 Low Med High Ind Qual Quant 
Z Yes No® Yes Yes No® Yes Yes No 
TRIO No® No® Yes No® No® Yes Yes Yes 
Statecharts Yes Yes Yes Yes Yes Yes Yes Yes® 
SDL Yes Yes Yes Yes Yes Yes Yes Yes@ 
UML No® No No® No No Yes Yes No 
PN Yes No Yes No No Yes Yes Yes® 
LOTOS Yes No Yes Yes No Yes Yes Yes? 
SCADE Yes No® Yes Yes Yes Yes Yes Yes® 
B Yes Yes Yes Yes Yes Yes Yes No 


Q@ “NO” 是 由 于 得 不 到 具有 需要 “Yes” 值 的 所 有 功能 的 完全 综合 水 平 的 工具 。 
@ 对 于 SIL 为 1 或 2 级 的 系统 推荐 采用 该 方法 ， 而 对 于 SIL 为 3 或 4 级 的 系统 ,在 目前 技术 下 可 采用 
该 方法 ， 但 不 强烈 推荐 。 

@ 对 于 SIL 为 1 级 的 系统 ， 只 推荐 该 方法 。 
示 的 典型 特征 和 支持 工具 可 得 到 表 4.2。 毫 不 奇怪 ， 在 定量 定时 和 高 度 复杂 的 系 
统 情 况 下 ， 目 前 技术 并 不 理想 ， 即 使 是 已 取得 最 好 成 绩 的 方法 和 工具 。 在 这 种 情 
况 下 ， 没 有 “强烈 推荐 ”的 方法 和 工具 ， 现 有 的 方法 和 工具 中 只 有 “建议 ”。 这 
是 由 于 当前 可 用 工具 在 分 析 和 验证 形式 化 模型 时 缺乏 严谨 的 形式 化 基础 ， 或 没有 
在 工业 环境 下 重复 且 持 久 的 应 用 中 得 到 认证 和 验证 。 然 而 ， 正 如 在 原 书 前 言 中 所 
述 ， 在 铁路 信号 中 一 般 没有 复杂 计算 或 硬 实时 约束 。 


4.4 成 功 案 例 : B 方法 


从 4.3 节 的 比较 案例 研究 中 可 知 ，B 方法 '" 是 功能 最 强 的 验证 方法 之 一 。B 
方法 具有 闫 说 的 数学 基础 和 成 熟 的 基本 方法 ， 且 得 到 非常 先进 的 工具 集 的 支持 。 
一 系列 的 铁路 信号 产品 得 益 于 在 其 设计 过 程 中 应 用 B 方法 。 通 过 影响 EN50128 
标准 的 定义 ( 见 4.2 节 )，B 方法 的 成 功 在 铁路 信号 领域 有 着 重大 影响 。 

B 方法 的 目标 是 在 软件 开发 中 从 规范 化 、 精 细 化 到 实现 和 代码 自动 生成 ， 验 
证 每 个 阶段 。 这 包括 一 个 规范 系统 的 符号 一 抽象 机 : 抽象 机 定义 为 可 修改 状态 变 
量 值 的 一 组 状态 和 一 组 操作 ; 定义 状态 的 一 个 不 变 谓词 ， 对 于 每 个 操作 ， 定 义 一 
个 描述 操作 对 状态 变量 影响 的 前 提 条 件 和 后 置 条 件 。 必 须 证 明 在 同时 满足 前 提 条 
件 和 不 变量 的 状态 中 执行 一 个 操作 时 ， 操 作 执 行 后 的 状态 满足 后 置 条 件 和 不 变 
量 。 而 且 ， 在 每 个 细 化 阶段 ， 必 须 证 明 保留 了 系统 所 需 的 安全 性 能 。 所 以 定制 规 
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范 可 产生 一 系列 需 由 形式 化 证 明 执行 的 证 明 义 务 。 与 B 方法 一 起 ， 还 具有 相应 
的 支持 工具 ， 其 中 包括 用 于 推导 证 明 义 务 、 定 理 证 明和 Ada 代码 生成 的 工具 。 

B 方法 已 在 铁路 信号 系统 得 到 成 功 应 用 ， 特 别 是 主要 在 法 国 的 Matra 交通 运 
输 和 Alstom 中 。 第 一 次 应 用 于 20 世纪 80 年 代 未 期 巴黎 RER 铁路 交通 线 控制 的 
SACEM 系统 '”。 为 保证 两 家 铁路 公司 能 够 对 铁路 交通 线 (SNCF 和 RATP) 进 
行 正确 设计 ， 在 已 开工 的 项 目 中 引入 了 B 方法 。 后 来 ,在 由 同一 公司 设计 的 类 
似 系统 中 均 采 用 了 方法 (特别 是 现 已 被 西门 子 公司 收购 的 Matra 公司 )。 最 引 人 
瞩目 的 应 用 之 一 是 自从 1998 年 10 月 开始 运行 的 巴黎 Meteor 地 铁 线 。 这 条 地 铁 线 
设计 为 每 小 时 达到 4 万 乘客 的 运力 ， 且 在 客流 高 峰 期 列车 之 间 的 间隙 可 降 为 
85s。 它 通过 Matra 公司 开发 的 、 包 括 86000 条 Ada 地 铁 线 的 列车 自动 操作 系统 
进行 管理 ( 见 文献 [3] ) 。 

在 B 方 法 的 开发 过 程 中 证 明了 27800 条 定理 ， 其 中 ， 大 约 90% 是 通过 支持 
工具 自动 证 明 ， 其 余 的 约 2000 条 定理 是 通过 交互 式 证 明 的 。 在 证 明 过 程 中 发 现 
许多 错误 。 相 比 之 下 ，B 方法 开发 后 ， 各 种 测试 过 程 中 都 没有 检测 到 进一步 的 错 
误 。 此 外 ， 自 从 地 铁 线 运行 后 ， 也 没有 错误 报告 。 


4.5 铁路 信号 设备 分 类 


铁路 信号 装备 大 致 可 分 为 两 大 类 : 列车 控制 系统 为 列车 的 安全 行驶 速度 和 制 
动 控制 提供 保障 ， 而 联 锁 系统 通过 错综复杂 的 轨迹 和 站 点 布局 建立 安全 行驶 路 
径 。 另 外 ， 还 需 考虑 其 他 几 个 常用 来 为 主 信号 系统 提供 输入 的 小 信号 系统 ， 其 中 
一 些小 信号 系统 与 主 信号 系统 具有 相同 的 关键 等 级 。 另 外 ， 某 些 信号 系统 实际 上 
整合 了 上 述 两 类 系统 的 特点 。 然 而 ， 为 分 析 起 见 ， 在 此 仅 主 要 考虑 两 类 主要 系统 
的 特性 。 


4.5.1 列车 控制 系统 


目前 ， 已 有 各 种 各 样 的 列车 控制 系统 ， 这 可 能 取决 于 司机 对 车 辆 的 控制 程度 
(从 几乎 不 提供 任何 支持 的 手动 系统 到 完全 自动 化 的 无 人 驾驶 系统 )， 以 及 取决 
于 列车 信息 传送 的 不 同方 式 (司机 或 车 载 设备 ) 和 信息 性 质 。 然 而 ， 最 基本 的 
列车 速度 控制 原则 是 共同 的 : 制 动 曲 线 的 概念 ( 见 图 4.1)。 根 据 前 方 列车 或 固 
定 障碍 ， 可 定义 铁路 线 上 任 一 点 处 给 定时 刻 的 列车 最 大 安全 速度 曲线 。 必 须 保证 
列车 速度 低 于 曲线 上 的 相应 速度 。 由 于 前 方 列车 不 断 运动 ， 曲 线 也 随 之 变化 ， 提 
供 列车 的 安全 车 头 时 距 。 面 临 的 主要 挑战 是 要 确保 列车 的 车 载 系 统 曲 线 足够 
准确 。 

当 在 车 载 系统 和 沿线 站 点 计算 机 之 间 不 断交 换 信息 时 ， 要 求 具有 带宽 保证 且 
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图 4.1 制 动 曲线 原理 


应 采用 安全 通信 协议 。 因 此 ， 在 现代 列车 控制 系统 中 ， 是 从 基本 安全 规则 复杂 性 
转变 为 通信 协议 的 复杂 性 。 

从 SACEM 和 Météor 系统 中 可 以 看 出 形式 化 方法 可 应 用 到 整个 系统 开发 过 
程 。 然 而 ， 在 处 理 主要 线路 时 ， 由 于 异 质 性 、 兼 容 性 以 及 互 操作 性 问题 ， 使 得 情 
况 变 得 复杂 。 机 车 通常 要 求 在 货运 /客运 混合 的 不 同 装备 线路 上 运行 。 每 个 国家 
的 铁路 都 有 其 自身 的 传统 ， 尤 其 是 涉及 信号 规则 和 程序 方面 。 在 开放 的 欧洲 市 场 
出 现 之 前 ， 各 国 铁路 公司 都 与 信号 设备 供应 商 (大 多 为 国家 公司 ) 保持 联系 ， 
以 及 在 典型 的 受 保 护 市 场 下 ， 铁 路 公司 和 供应 商都 采用 一 种 全 国 范围 的 特定 信和 号 
方式 来 保持 严格 关系 。 这 使 得 欧洲 各 国有 着 需求 不 同 车 载 设备 的 不 同 列车 控制 系 
统 。 而 开放 性 铁路 市 场 的 新 规则 要 求 任何 一 家 公司 生产 的 列车 可 行使 在 欧洲 所 有 
铁路 线 上 。 这 意味 着 列车 应 具有 互 操作 性 。 实 现 该 目标 的 唯一 方法 就 是 在 列车 驾 
驶 室内 安装 所 经 国家 的 多 个 不 同 版 本 的 车 载 系统 ， 或 在 边境 处 更 换 机 车 车 头 。 

出 于 上 述 原因 ， 设 立 欧 洲 铁 路 交通 管理 系统 /欧洲 列车 控制 系统 (ERTMS/ 
ETCS) 项 目 ， 旨 在 实现 未 来 欧洲 铁路 网 的 单一 列车 控制 系统 。 在 目前 的 初始 
测试 阶段 之 后 ,该 项 目 计 划 逐 步 在 传统 设备 上 并 排 安装 ERTMS/ETCS 设备 ， 同 
时 根据 铁路 污 线 站 点 计算 机 与 车 载 设 备 之 间 信 息 量 的 增加 程度 来 开发 3 种 连续 的 
ERTMS/ETCS 等 级 。 在 等 级 2 和 等 级 3 中 ,利用 GSM-R (专用 于 铁路 行业 的 
GSM 无 线 通信 ) 来 为 铁路 线 上 的 前 方 列 车 连续 传输 信息 。 

ERTMS/ETCS 充分 利用 标准 化 组 件 ( 欧洲 关键 板 载 计 算 机 、 无 线 闭塞 中 心 
和 应 答 器 ) 和 由 欧洲 主要 信号 制造 商 根据 综合 技术 联合 提出 的 协议 (欧洲 电 
台 )。ERTMS/ETCS'” | 所 发 布 的 规范 是 一 种 包括 表格 、 状 态 图 和 序列 图 以 增加 形 
式 化 程度 的 结构 化 自然 编程 语言 需求 文档 。 

目前 ， 已 开展 了 一 些 关于 ETCS 协议 和 组 件 形式 化 建 模 和 验证 的 研究 ， 从 有 
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色 Petri 网 $1 提供 的 ETCS 模型 开始 ， 到 通过 利用 状态 图 来 证 明 早期 基于 无 线 电 
的 列车 控制 系统 09 模型 校 验 的 安全 性 能 ， 到 通过 随机 Petri 网 ”或 CSP- OZ- 
DC 研究 实时 性 能 。 实 现 ETCS 自然 语言 需求 形式 化 的 最 系统 化 方法 已 在 最 近 
由 欧洲 铁路 局 资助 的 EuRailCheck 项 目 "'” 中 进行 研究 ， 其 中 开发 一 种 在 受 控 自 然 
语言 约束 条 件 下 的 UML 增强 图 来 产生 形式 化 需求 段 。 通 过 一 种 定制 的 NuSMV 模 
型 校 验 器 可 实现 这 些 需求 段 的 自动 验证 分 析 。 

形式 化 方法 还 用 于 联盟 公司 的 开发 周期 中 。 例 如 Ansaldo 公司 ， 在 利用 SDL 
和 消息 序列 图 解决 无 线 闭塞 中 心 建 模 和 检验 ” 后， 通过 UML 状态 图 方式 给 出 一 
种 欧洲 无 线 通信 协议 的 形式 化 规范 ， 这 样 就 可 在 将 场景 UML 序列 图 表示 之 后 进 
行 模拟 检验 。 

在 ETCS 情况 下 ， 形 式 化 方法 的 研究 热点 已 经 从 列车 控制 综合 逻辑 ( 制 动 曲 
线 原理 ) 转变 为 基于 无 线 的 安全 性 能 和 实时 性 能 ， 这 是 即使 信号 不 再 出 现在 铁 
路 线 上 ， 轨 道 前 方 信息 仍 可 与 列车 通信 的 唯一 一 种 方式 。 


4.5.2 BMRA 


铁路 领域 的 控制 和 管理 包括 两 个 独立 任务 : 第 一 ， 轨道 和 站 点 的 控制 指令 是 
在 通常 由 专家 管理 的 逻辑 层 上 设计 的 ; 第 二 ， 必 须 保 证 控制 指令 的 执行 不 会 危害 
到 列车 安全 ， 即 必须 避免 碰撞 和 出 轨 。 这 可 由 称 为 联 锁 系 统 的 方式 完成 ， 这 是 介 
于 基础 设施 和 逻辑 层 及 其 接口 之 间 的 媒介 。 

联 锁 系统 是 一 种 敬 入 式 系 统 ， 用 于 控制 设备 部 件 (如 信号 装置 、 站 点 装置 、 
轨道 电路 和 自动 闭塞 装置 ) 之 间 相 互 连 接 ， 使 其 能 够 按 顺 序 执行 功能 ， 并 为 保 
证 操作 安全 而 定义 联 锁 系 统 。 一 个 简单 的 联 锁 系 统 如 图 4. 2 所 示 ， 这 是 来 自 一 个 
实际 的 意大利 联 锁 系统 ” 。 图 中 ， 线 段 表示 基础 设施 中 的 轨道 ;其 中 有 的 含有 
轨道 电路 ， 即 用 圆圈 内 的 标号 表示 列车 中 的 传感器 ; 轨道 段 之 间 的 交点 表示 站 
点 。 棒 棒 糖 式 的 图 形 表示 各 种 不 同类 型 的 信号 。 在 整个 轨道 路 线 中 的 每 个 重要 部 
分 都 有 数字 标记 。 该 示例 (RA 1 条 铁轨 的 车 站 ) 是 由 8 条 可 行路 径 、2 个 站 
点 、8 个 信号 装置 、6 个 轨道 电路 装置 和 2 个 自动 闭塞 装置 组 成 。 
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图 4.2 最 简单 的 路 线 布 局 
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只 有 当 正 确 配置 轨道 上 所 有 站 点 ， 且 无 列车 时 才能 设置 该 轨道 为 安全 。 同 
时 ， 只 有 前 方 轨道 设置 为 安全 ， 才 能 将 信号 设 为 绿色 。 上 述 表 述 是 所 有 联 锁 系统 
必须 遵守 的 两 条 一 般 规则 。 这 些 规则 由 在 仅 允 许 站 点 位 置 、 信 号 等 安全 组 合 ， 以 
避免 碰撞 。 由 联 锁 系 统 处 理 的 信号 指示 装置 控制 着 正确 使 用 轨道 并 授权 在 其 上 的 
列车 运动 。 通 常 ， 这 些 规则 会 执行 一 个 预定 义 的 动作 序列 。 例 如 ， 发 布 一 个 轨道 
请 求 指令 ， 首 先 会 触发 检查 该 线路 上 的 所 有 轨道 装置 是 否 正确 设置 。 在 此 情况 
下 ， 针 对 线路 上 站 点 位 置 以 及 闭锁 轨道 装置 而 发 布 指令 。 在 此 之 后 紧 接着 是 一 个 
对 受 控 装置 的 正确 状态 进行 全 局 集中 控制 的 阶段 ， 然 后 就 可 以 闭锁 该 线路 ， 并 设 
置 相应 的 信和 号 指示 装置 。 

然而 ， 需 要 注意 的 是 ， 上 述 表示 的 一 般 规 则 需要 与 每 种 特定 布局 相 结合 。 例 
如 ， 对 于 图 4.2 中 的 线路 1-3， 应 考虑 站 点 1， 轨 道 电路 10、11 、I 等 来 设置 
规则 。 

实际 上 ， 这 些 规则 的 精确 完整 的 设置 取决 于 轨道 与 站 点 的 布局 (参见 文献 
[30]) 以 及 铁路 公司 或 监管 机 构 发 布 的 传统 国家 政策 。 由 于 联 锁 系统 是 安全 性 
的 关键 所 在 ， 因 此 形式 化 这 些 规 则 是 首要 要 求 。 

许多 铁路 公司 在 开发 基于 继电器 的 联 锁 系统 的 传统 工艺 过 程 中 ， 将 一 般 原则 
编码 到 继电器 电路 模板 中 〈 继 电器 是 一 种 电动 开关 ， 使 得 电流 通过 铁心 周围 缠 
绕 的 铜 线 ， 产 生 吸 合 横 杆 的 电磁 场 ， 从 而 改变 开关 触 点 ) 。 在 安装 一 个 新 的 联 锁 
系统 时 ， 必 须 使 得 这 些 一 般 原则 适用 于 轨道 的 特定 布局 。 对 于 某 些 形 式 化 程度 不 
一 的 规则 也 应 遵循 该 适用 过 程 。 上 述 过 程 结 束 时 ， 会 产生 一 个 包含 车 站 中 每 个 逻 
辑 或 物理 对 象 的 命令 和 控制 电路 的 示意 图 。 

一 种 该 类 型 的 示意 图 如 图 4. 3 所 示 ; 该 示意 图 来 自 同一 个 意大利 联 锁 系 统 ， 
并 表示 图 4. 2 中 考虑 站 点 1 以 及 轨道 电路 10、11、I 等 时 线路 1-3 的 电路 。 图 
4.3 中 的 梯形 图 表明 继电器 CDI 3 的 通电 取决 于 许多 其 他 的 继电器 触 点 。 

这 种 电路 是 基于 有 助 于 工程 师 新 车 站 设计 的 模板 而 生成 的 。 然 后 ， 将 该 模板 
和 布局 目标 相关 联 ， 并 复制 每 个 目标 。 在 一 个 电路 模板 中 ， 包 含 所 有 需要 对 这 些 
目标 进行 管理 的 触 点 。 执 行 的 唯一 动作 是 利用 布局 显示 的 触 点 来 代替 传统 触 点 。 
线路 相关 的 所 有 示意 图 结构 都 相同 ， 但 从 一 条 线路 到 另 一 条 线路 上 的 触 点 〈 串 
联 或 并 联 ) 编号 和 名 称 都 不 相同 。 

过 去 ， 基 于 继电器 的 联 锁 系统 的 安全 性 是 基于 单个 故障 安全 的 概念 ， 并 利用 
中 继 技术 的 固有 特性 。 引 入 计算 机 控制 和 指令 链 可 能 会 影响 该 方法 的 安全 性 ， 这 
是 因为 计算 机 控制 设备 的 故障 模式 可 能 会 更 加 多 样 化 并 难以 预测 。 

一 些 铁路 公司 所 采用 的 第 一 种 方法 是 在 基于 计算 机 的 联 锁 系 统 开始 中 ， 保 持 
传统 且 成 熟 的 基于 继电器 的 原理 图 作为 值得 信赖 的 信息 来 源 ， 然 后 通过 成 本 较 高 
且 楷 琐 但 并 非 穷 举 的 测试 手段 ， 以 寻求 新 的 联 锁 系统 与 信息 源 的 一 致 性 。 该 方法 
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图 4.3 线路 1-3 的 瞬时 继电器 方案 


对 供应 商 研发 联 锁 系 列 产品 施加 了 压力 ， 并 结合 通过 考虑 某 些 性 能 来 实例 化 通用 
产品 的 方式 ， 以 将 已 证 明 与 可 信 信 息 来 源 兼容 的 适合 的 形式 化 原理 图 解释 或 编译 
到 运行 代码 中 。 从 文献 [6, 24, 33, 42] 可 知 ， 不 同 制 造 商 所 采用 的 实际 方法 
也 各 不 相同 。 由 于 能 够 明确 规范 保证 线路 安全 设置 的 逻辑 规则 ， 因 此 开发 采用 形 
式 化 方法 的 计算 机 控制 联 锁 系统 得 到 越 来 越 多 的 兴趣 和 关注 。B 方法 的 符号 (UL 
4.4 节 ) 并 不 真正 适合 于 联 锁 系 统 的 逻辑 规则 表示 ， 这 是 因为 许多 逻辑 规则 需要 
全 局 访问 系统 状态 〈 对 应 于 原来 继电器 状态 的 逻辑 变量 ) ， 而 抽象 机 对 这 些 状态 
变量 进行 封装 ， 使 得 只 能 通过 操作 才能 访问 。 

如 今 ， 不 再 是 依靠 原先 的 中 继 技 术 ， 而 是 需要 一 种 对 整个 系统 进行 完全 形式 
化 的 创新 方法 。 现 已 开发 出 用 于 联 锁 系 统 形式 化 的 特定 域 编 程 语言 ?7 ， 其 中 
最 著名 的 是 欧洲 铁路 联 锁 规 范 (EURIS)5 2 ， 这 将 在 4.5.3 节 中 详细 讨论 。 目 
前 ， 使 用 可 能 商业 化 的 支持 工具 已 大 大 推进 通用 编程 语言 的 应 用 ， 如 4.3 节 所 
述 。 并 且 ， 最 近 的 发 展 趋势 表明 状态 图 (其 中 的 Statemate 、Stateflow 或 UML 状 
态 图 语言 ) 可 作为 一 种 定义 标准 形式 化 的 方法 ， 例 如 ， 参 见 文献 [2]. 

状态 图 的 发 展 趋势 已 从 传统 受 保护 的 市 场 向 欧洲 开放 市 场 过 渡 ， 只 不 过 是 以 
不 同 的 理由 而 非 针对 列车 控制 系统 ( 见 4.5.1 节 )。 因 为 在 以 前 的 国家 市 场 保护 
政策 下 ， 由 国家 制造 商 为 国家 铁路 公司 开发 联 锁 系 统 。 铁 路 信号 仍然 是 负责 铁路 
基础 设施 的 政府 部 门 职责 (如 RFF、RFI、ProRail) ， 而 不 是 开放 市 场 的 铁路 运 
营 商 的 责任 。 另 一 方面 ， 传 统 的 国家 工业 已 由 少数 跨国 公司 合并 和 重组 。 因 此 ， 
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为 统一 产品 生产 线 ， 这 些 跨 国 公司 必须 整合 不 同 铁路 信和 号 产品 的 相关 技术 。 在 此 
情况 下 ， 国 家 铁路 公司 和 国家 铁路 产品 生产 企业 之 间 的 严格 合作 关系 由 于 不 需要 
明确 规范 而 不 再 存在 〈 所 有 误解 都 可 通过 电话 解决 ) 。 这 就 更 加 需要 明确 定义 涉 
及 各 方 责任 的 合同 规范 。 

欧洲 铁路 部 门 已 逐 级 意识 到 对 当前 联 锁 系 统 设计 必须 进行 彻底 改革 ， 这 主要 
有 4 个 方面 的 原因 。 首 先 ， 目 前 联 锁 系 统 的 设计 方法 ， 如 Alstom 的 SSI 和 VPI 以 
及 Westinghouse Signals 的 WESTRACE 等 方法 ， 都 是 基于 继电器 的 联 锁 早 期 设计 
方法 ， 因 此 没有 充分 利用 计算 机 硬件 和 软件 的 附加 功能 。 其 次 ， 由 于 缺乏 模块 
化 ， 目 前 的 方法 不 适用 于 建设 超大 规模 铁路 车 站 的 联 锁 系 统 ; 采用 最 常见 的 解决 
方案 ， 即 将 该 车 站 分 为 独立 的 几 个 部 分 ， 会 造成 现 有 方法 的 通信 成 本 过 高 。 第 
三 ， 由 于 缺乏 标准 化 ,到 目前 为 止 ， 不 同 欧洲 国家 仍 采 用 不 同 的 联 锁 技 术 ， 导 致 
成 本 较 高 。 第 四 ,形式 化 方法 难以 集成 到 现 有 方法 中 ， 如 参见 文献 [18 22, 
35] 中 有 关 这 方面 的 一 些 研究 工作 ， 主 要 是 采用 用 于 联 锁 系 统 形式 化 验证 的 模 
型 校 验 技术 。 正 是 由 于 上 述 原 因 ， 意 大 利 铁路 基础 设施 部 门 发 布 了 在 4.3 节 中 讨 
论 的 软件 采购 文件 。 

欧洲 联 锁 系统 开发 项 目 促 使 欧洲 主要 铁路 公司 和 供应 商 开 发 联 锁 系 统 的 欧 
洲 功 能 要 求 和 标准 化 接口 。 在 这 种 情况 下 ， 由 于 联 锁 系 统 不 与 列车 (直接) 
通信 ， 互 操作 性 并 不 是 一 个 主要 问题 。 标 准 化 的 唯一 目的 是 通过 标准 化 组 件 和 
标准 化 联 锁 规则 来 降低 成 本 。 在 欧洲 联 锁 系 统 中 , .EIFFRA 研究 团队 "1 着 重 于 
文本 需求 、 需 求 管理 工具 ， 如 Telelogic 的 DOORS， 以 及 基于 模型 的 要 求 。 这 
是 通过 利用 UML 状态 图 和 Statecharts 来 描述 行为 ， 以 及 利用 0CL 来 描述 联 锁 
系统 的 性 能 而 实现 的 。 在 此 背景 下 ，SNCF- RFF 利用 Statemate 对 (基于 继电器 
的 ) 联 锁 系 统 原 理 图 建 模 ， 生 成 联 锁 装 置 的 90 个 通用 Statecharts'*") 。 该 方法 
已 在 一 个 中 等 规模 的 车 站 中 实例 化 ， 获 得 25 个 Statecharts (90 个 之 中 ) 的 115 
个 实例 。 利 用 Statemate 的 仿真 以 及 Waveforms 的 可 视 化 场景 来 验证 定义 和 实例 
的 正确 性 。 

近期 提出 的 一 个 欧洲 联 锁 系 统 项 目 是 FP7 INESS WIA), EWEEN 
代 联 锁 系 统 的 规范 ， 尤 其 是 注重 与 ERTMS 系统 的 正确 接口 。 在 INESS 中 , 已 选 
用 UML 状态 图 作为 建 模 语 言 。 


4.5.3 EURIS 语言 
联 锁 轩 辑 对 系统 状态 的 各 种 限制 完全 一 致 ， 主 要 是 取决 于 自主 装置 的 参数 ， 
如 信号 和 站 点 。 根 据 这 一 现象 ,来 自 荷 兰 ProRail 公司 的 Peter Middelraad 开发 了 


一 种 模块 化 规范 方法 /语言 EURIS"] ， 来 描述 完全 自动 化 的 联 锁 逻 辑 。EURIS fg 
定 了 一 种 面向 对 象 的 体系 结构 ， 其 中 包括 一 组 通用 结构 块 用 于 表示 信和 号 和 站 点 等 
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基础 设施 中 的 装置 ， 以 及 两 个 与 外 界 完全 隔离 的 实体 来 表示 逻辑 层 和 基础 设施 。 
在 这 些 共同 组 成 联 锁 逻 辑 的 结构 块 之 间 通 过 称 为 报 文 的 消息 相互 通信 ， 同 时 ， 这 
些 结构 块 还 可 以 与 两 个 建 模 为 逻辑 层 和 基础 设施 的 实体 交换 报 文 信息 。 该 模型 的 
描述 如 图 4.4 所 示 。 


| 





| 
| 
| 
| 


A | | | | 


图 4.4 EURIS 架构 








在 此 ， 给 出 一 个 示例 ， 假 设 逻 辑 层 决定 列车 应 通过 线路 R 运行 。 将 该 请 求 
传送 到 声明 占用 线路 R 的 联 锁 层 。 在 此 ， 可 将 该 任务 分 为 多 个 通过 结构 块 之 间 
交换 报 文 信息 来 完成 的 小 任务 。 如 果 所 有 结构 块 都 一 致 同意 线路 R 成 立 且 不 会 
危害 安全 性 ， 那 么 联 锁 系统 将 占用 这 条 线路 ， 并 对 基础 设施 发 送 必 要 指令 。 

EURIS 不 仪表 示 一 种 规范 方法 ， 同 时 也 命名 了 一 种 基于 该 方法 的 图 形 化 面向 
命令 规范 语言 。 利 用 一 个 所 谓 的 逻辑 和 序列 图 (LSC) 来 指定 一 个 结构 块 。 每 个 
包含 程序 图 形 化 表示 的 LSC 能 适应 和 测试 变量 值 并 最 终 触发 报 文 发 送 。 该 报 文 
可 由 相 邻 结构 块 、 重 全 逻辑 层 和 底层 基础 设施 接收 。 反 之 ， 每 个 结构 块 也 可 从 相 
邻 结构 块 、 逻 辑 层 和 底层 基础 设施 接收 报 文 。 这 种 在 结构 块 、 逻 辑 层 和 基础 设施 
之 间 的 通信 通道 以 及 变量 初始 值 都 保存 在 LSC 外 部 。 

在 EURIS 中 ， 规 范 的 核心 是 定义 了 各 种 不 同 结构 块 处 理 输入 报 文 的 方式 。 
直观 地 说 ， 这 些 结构 块 代表 基础 设施 中 的 独立 装置 ， 如 信号 和 接点 。 只 要 所 有 类 
型 的 结构 块 都 已 详细 说 明 ， 那 么 特定 铁路 区 域 的 布局 规范 可 以 适当 方式 简单 连接 
分 离 的 结构 块 来 构建 实现 。 面 向 对 象 的 EURIS 方法 对 于 大 规模 铁路 车 站 的 联 锁 
系统 设计 方面 不 会 产生 额外 成 本 ， 并 对 于 不 同 国家 可 能 有 不 同 的 联 锁 设 计 模 式 。 

UniSpec™ 是 EURIS 方法 的 一 个 特殊 实例 ， 是 由 ProRail 公司 开发 的 组 成 联 锁 
系统 的 一 整套 通用 装置 。 其 中 ， 一 个 模拟 器 可 使 得 UniSpec 规范 行为 生动 形象 。 
设计 完 一 组 LSC 后 ， 用 户 可 以 根据 铁路 拓扑 结构 来 添加 LSC 实例 。 对 设计 规则 
的 错误 和 编译 结果 进行 检查 ， 然 后 ， 可 通过 图 形 化 界面 来 模拟 仿真 受 控 铁路 区 域 
的 情况 。 

在 由 荷兰 Holland Railconsult 公司 资助 的 一 个 项 目 中 ,来 自 Utrecht 大 学 的 研 
究 人 员 为 EURIS 制定 了 形式 化 操作 语义 5 ， 这 是 根据 EURIS 模拟 器 ， 基 于 离散 
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时 间 模 型 的 。 该 语义 用 于 离散 时 间 进 程 代数 的 设 定 。 在 由 ProRail 资助 的 后 续 项 
目 中 , 来 自 阿 姆 斯 特 丹 工人 国际 委员 会 (CWI) 的 研究 人 员 设 计 了 一 种 名 为 
LARIS 的 文本 形式 EURIS'”"i， 引 在 提高 图 形 化 LSC 的 清晰 度 。EURIS 规范 的 验 
证 工作 正在 阿姆斯特丹 的 CWI 进行。 另外， 还 实现 了 EURIS 到 jCRL" 的 编译 
器 原型 ， 并 在 pCRL 工具 集 的 帮助 下 ， 解 决 了 荷兰 Woerden- Harmelen 车 站 的 
EURIS 规范 验证 。 因 此 ， 可 提供 该 联 锁 系统 的 状态 空间 符号 版 本 用 于 分 析 。 利 
用 pCRL 工具 集 可 实现 一 个 (更 小 的 ) 虚构 火车 站 的 EURIS 规范 的 正确 性 
验证 。 

有 关 Woerden- Harmelen 的 验证 工作 使 得 在 形式 化 验证 领域 取得 一 些 进展 。 
即 由 于 该 车 站 联 锁 系统 的 状态 空间 太 大 ， 因 此 必须 利用 kCRL 工具 集 来 实现 新 的 
验证 方法 ， 以 应 付 如 此 大 的 状态 空间 。 这 些 新 的 验证 方法 基于 部 分 降 阶 法 "| 、 
分 布 式 状 态 空 间 生 成 法 "以 及 分 布 式 状态 空间 最 小 化 "|。 

EURIS 的 所 有 权 已 经 从 ProRail 转卖 给 西门 子 公 司 ， 以 保证 更 加 强大 的 商业 
支持 和 工具 开发 。 目 前 ，EURIS 是 西门 子 公司 GRACE 工具 集 的 核心 |。 


4.6 小 结 


随 着 欧洲 共同 体 强 制 推行 开放 市 场 ， 铁 路 发 展 在 过 去 的 几 十 年 内 发 生 了 巨大 
变化 ， 但 可 以 看 到 形式 化 方法 在 铁路 信号 中 的 应 用 发 展 历史 并 未 脱离 铁路 的 发 展 
历史 。 其 中 ， 见 证 了 向 基于 行为 、 状 态 机 的 形式 化 转变 ， 以 及 商业 化 工具 越 来 越 
多 地 关注 向 形式 化 支持 的 转变 。 具 有 仿真 和 模型 校 验 规范 并 生成 代码 的 工具 将 会 
产生 附加 值 。 但 是 ， 这 对 于 主要 从 事 软 件 生产 或 微型 设备 的 小 公司 来 说 ， 可 能 由 
于 太 过 于 昂贵 而 望而却步 。 在 得 到 一 个 令 人 满意 的 解决 方案 之 前 ， 还 将 有 一 段 很 
长 的 时 间 。 

规范 和 验证 的 形式 化 方法 正 逐 步 平稳 地 得 到 工业 环境 下 的 认可 和 应 用 : 在 学 
术 界 已 有 许多 符号 、 方 法 和 (原型 ) 工具 ， 然 而 ， 在 工具 稳定 性 、 规 范文 档 和 
用 户 支 持 方面 尚 缺乏 工业 实际 应 用 ， 另 一 方面 ， 在 工业 中 也 出 现 一 些 具 有 技术 含 
量 的 方法 和 工具 。 尽 管 在 实际 应 用 中 利用 这 些 (得 到 工业 应 用 ) 工具 来 实现 复 
杂 硬 实时 系统 的 全 面 验证 仍 是 不 可 行 的 ， 但 是 验证 技术 正 得 到 快速 发 展 。 

EN50128 等 国际 标准 在 推进 采用 系统 和 技术 完善 的 开发 方法 中 具有 积极 作 
用 ， 但 也 存在 技术 过 时 、 上 汐 难 懂 、 模 楼 两 可 或 过 于 迁就 等 问题 。 近 期 ，TC9X/ 
SC9XA 技术 委员 会 已 公布 建议 修订 CENELEC 规范 ， 其 中 包括 更 多 关于 形式 化 建 
模 和 形式 化 验证 技术 的 参考 。 
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计算 机 科学 与 工程 学 系 ， 加 州 大 学 ， 加 利 福 尼 亚 州 
5.1 简介 


自 20 世纪 70 年 代 以 来 ， 地 面 上 的 机 载 作战 管理 系统 和 空中 交通 运营 管理 越 
来 越 自动 化 。 商 用 和 军用 飞机 驾驶 舱 如 今 已 高 度 计算 机 化 。 这 类 设备 通称 为 航空 
电子 设备 。 这 包括 数字 电子 设备 、 零 部 件 以 及 应 用 于 以 下 的 整个 子 系统 : 


e 导航 ， 如 全 球 定 位 系统 (GPS); 

e 控制 ， 如 自动 驾驶 系统 ; 

e 通信 ， 如 基于 GPS 的 广播 式 自动 相关 监视 系统 (ADS-B); 

e 冲突 检测 和 消解 (CD&R) 协议 ， 如 交通 防 撞 系 统 (TCAS) 和 跑道 入 
侵 预 防 系统 (RIPS); 

© 飞行 数据 记录 仪 ; 

e 集成 显示 系统 ; 

e 完整 飞机 管理 系统 ， 如 模块 化 集成 航空 电子 系统 (IMA) ; 

e 无 人 驾驶 系统 [无 人 机 (UAS)]。 


对 于 安全 关键 航空 电子 设备 ， 监 管 部 门 【 美 国联 邦 航空 管理 局 (FAA) 、 民 
用 航空 管理 局 (CAA) 或 国防 部 (DoD) ] 需要 软件 开发 标准 ， 如 用 于 军用 系统 
的 MIL- STD-2167 和 用 于 民用 飞机 的 RTCA DO-178B。 这 对 于 相关 技术 最 初 未 包 
含 在 条 例 规 定 中 的 形式 化 方法 是 一 个 机 遇 和 挑战 ， 目 前 ， 该 方法 已 取得 巨大 进 
步 ， 并 强烈 建议 应 用 于 构建 可 靠 性 系统 的 过 程 中 [5 。 

验证 航空 电子 系统 所 面临 的 挑战 可 归结 为 两 个 主要 因素 : 

e 谈 入 式 系统 的 混合 特性 : 无 论 是 离散 变量 还 是 连续 变量 都 需要 如 实 描述 
模型 概念 ， 如 (连续) 飞机 运动 轨迹 、 操 作 环境 中 的 物理 量 (如 温度 、 压 力 、 
速度 和 加 速度 ) 以 及 最 显著 的 “实时 性 ”。 

e & ASIE: 元 件数 量 、 尺 寸 大 小 以 及 这 些 元 件 之 间 的 相互 作用 是 相当 
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大 的 。 

混合 动力 系统 的 分 析 已 经 进行 了 近 20 年 。 但是， 正如 文献 [43] 中 指出 ， 
研究 界 从 一 开始 就 采用 一 种 基于 接受 “数据 变换 而 并 非 物理 动力 学 ”计算 理论 
的 方法 。 由 此 ， 就 可 通过 改造 基本 抽象 模型 来 建立 实时 性 模型 ， 如 具有 时 序 特 性 
的 自动 机 。 这 就 是 所 设想 的 时 间 自 动机 5 和 其 他 形式 自动 机 (定时 L/O 自动 机 、 
超时 自动 机 、 日 历 自 动机 ) 方式 。 尽 管 已 经 进行 了 大 量 的 研究 工作 ， 尤 其 是 在 
建立 形式 化 数学 基础 方面 ， 但 在 实际 应 用 中 的 进展 却 几 乎 停滞 不 前 ， 没 有 超过 
12 个 以 上 的 连续 变量 系统 。 例 如 ， 在 航空 电子 设备 系统 中 ， 一 个 基本 的 3-D 防 
撞 协 议 ， 至 少 需要 6 个 整 型 变量 来 表示 飞机 和 人 入侵 者 的 坐标 ， 并 用 6 个 整 型 变量 
来 表示 3-D 速度 矢量 ， 这 已 经 完全 超出 现 有 技术 的 能 力 。 

求解 线性 算术 和 未 解释 函数 的 可 满足 性 模 理论 (SMT) 已 用 于 有 效 地 验证 实 
时 性 设计 中 。 然 而 ， 这 种 方法 仍 局 限于 可 表示 为 线性 不 等 式 的 具有 和 较 少 离散 状 
态 且 时 序 约束 的 模型 。 

在 混合 动力 系统 验证 领域 达到 较 高 的 成 熟 度 之 前 ， 验 证 人 员 必 须 求助 于 更 传 
统 但 相对 可 扩展 的 技术 ， 如 离散 状态 模型 花 验 。 因 此 ， 首 要 任务 是 允许 在 行为 等 
效 的 有 限 模型 中 进行 无 限 状态 空间 分 析 时 找到 合适 的 希 条 茂 术 。 

一 旦 建立 一 个 合适 的 抽象 ， 接 下 来 的 第 2 个 挑战 是 解决 状态 空间 爆炸 的 问 
题 。 一 种 可 能 性 是 开发 一 种 可 将 状态 空间 减少 到 可 控 规模 的 还 原 技 术 (如 部 分 
降 阶 、 对 称 性 还 原 或 合成 方法 ) 。 另 一 种 是 提高 模型 校 验算 法 本 身 ， 正 如 5.2.6 
节 中 提出 的 饱和 算法 "。 这 种 模型 校 验 方法 最 初 是 作为 一 种 用 于 生成 全 局 异步 / 
局 部 同步 系统 状态 空间 的 非常 高 效 的 迭代 策略 ， 现 已 逐步 完善 以 能 够 解决 更 多 类 
型 的 问题 。 在 最 新 的 版 本 中 ， 可 支持 快速 可 变 域 计算 (变量 值 的 上 下 边界 值 先 
验 未 知 ) ， 另 外 ， 还 能 分 析 正 如 上 述 所 需 的 不 满足 “Kronecker 一 致 性 ”的 模型 。 

接 下 来 ， 介 绍 在 工业 应 用 领域 应 用 上 述 方法 〈 即 抽象 模型 的 离散 状态 模型 
校 验 ) 的 经 验 : NASA 的 飞行 跑道 安全 监控 (RSM) 软件 。 该 经 典 方法 似乎 
已 在 业内 保持 了 一 种 良好 的 纪录 ， 这 可 通过 ONERA 和 空中 客车 (Airbus) 公司 
的 最 近 报 告 5 5 表明 。 

在 此 ， 并 不 打算 将 该 方法 与 其 他 形式 化 验证 工具 和 技术 进行 比较 ， 因 为 这 不 
是 工业 中 的 习惯 做 法 ， 其 中 ,工具 和 人 员 技 能 严格 确定 了 每 个 项 目 中 的 验证 技 
术 。 然 而 ， 会 尽量 详细 地 证 明 建 模 和 分 析 决 策 ， 并 分 享 在 已 成 功 应 用 的 项 目 中 获 
得 的 观念 和 经 验 教训 。 


5.2 飞行 跑道 安全 监控 应 用 


RSM 是 RIPS :中 的 一 部 分 。 通 过 将 由 洛克 希 德 ， HT (Lockheed Martin) 
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公司 的 工程 师 设 计 并 实现 的 RSM 整合 到 集成 显示 系统 (IDS)" ， 自 1993 年 以 
来 ，NASA 就 已 开发 一 套 驾 驶 舱 应 用 系统 。IDS 还 包括 其 他 冲突 检测 和 消解 算法 ， 
如 TCAS I“), IDS 的 设计 使 得 RSM 能 够 充分 利用 现 有 的 数据 通信 设备 、 显 示 系 
统 、 全 球 定位 系统 、 地 面 监控 系统 信息 和 数据 链接 。 

在 实际 操作 中 已 采用 防 撞 协 议 。 自 1994 年 以 来 ， 就 一 直 在 使 用 TCAS "5, 
现在 ，FAA 要 求 应 用 于 所 有 美国 商用 飞机 上 。TCAS 具有 完整 的 形式 化 规范 ， 但 
由 于 其 复杂 性 2”] ， 目 前 只 有 一 部 分 被 验证 。 其 他 协议 ， 如 NASA Langley 开发 
的 有 助 于 确保 通用 航空 飞行 器 在 无 塔台 机 场 安全 着 陆 的 小 型 飞机 运输 系统 
(SATS)" ,以 及 一 种 已 经 过 形式 化 验证 的 用 于 并 行 着 陆 场 景 的 替代 算 
法 ”一 一 机 载 信息 横向 间距 (AILS) I, 


5.2.1 RSM 的 作用 


RSM 的 目标 是 检测 跑道 入 侵 ， 这 由 FAA 定义 为 “在 机 场 发 生 的 包括 飞机 、 
车 辆 、 人 员 或 地 面 上 物体 在 内 的 任何 导致 产生 碰撞 危险 或 使 得 飞机 起 飞 、 准 备 起 
飞 、 着 陆 或 准备 着 陆 时 产生 分 离 损 失 的 事件 ”。 

由 于 航空 安全 事故 大 多 发 生 在 跑道 上 或 跑道 附近 ， 因 此 RSM 在 避免 事故 发 
生 方 面 起 着 关键 作用 。RSM 并 不 是 为 了 预防 人 侵 ， 而 是 探测 到 入 侵 行为 并 提醒 
飞行 员 。 预 防 功能 是 由 具有 某 些 IDS 功能 的 RIPS 其 他 组 件 提 供 ， 如 头盔 显示 器 、 
电子 运动 地 图 、 驾 驶 舱 交 通信 息 显 示 以 及 滑行 路 线 。 由 洛克 希 德 ， 马丁 公司 进行 
的 实验 研究 ”1 表明， 车 飞 机 采用 IDS 技术 ， 则 入 侵 情 况 不 太 可 能 发 生 。RSM 
应 能 大 大 提高 这 种 积极 作用 。 


5.2.2 RSM 的 设计 


RSM 算法 的 顶层 架构 如 图 5. 1 所 示 。 在 一 个 安装 在 四 驶 舱 内 的 设备 上 运行 
RSM 并 要 求 在 飞机 在 机 场 起 飞 和 降落 到 机 场 之 前 启动 该 程序 。 在 每 架 飞机 上 运 
fr RSM 的 一 个 独立 副本 ， 并 将 正 进行 操作 的 飞机 看 作 万 有 者 ， 而 将 其 他 飞机 、 
正在 使 用 同一 跑道 的 地 面 车 辆 甚至 是 像 设备 这 样 的 物理 障碍 看 作 月 奈 。 

RSM 监控 飞机 起 飞 和 着 陆 的 跑道 周围 区 域 的 交通 状况 。 该 区 域 为 一 个 跑道 
横向 边缘 达到 220ft、 高 度 为 跑道 海拔 400ft、 长 度 为 每 条 跑道 端 1. ln mile ( 海 
里 ) 的 三 维 空间 (这 对 应 于 飞机 起 飞 和 降落 轨迹 的 一 个 3° 滑行 斜坡 ) 。 

利用 C 语言 编程 实现 的 协议 包括 重复 循环 的 3 个 阶段 。 在 第 1 阶段 中 ，RSM 
采集 由 数据 链 路 接收 到 的 雷达 更 新 交通 信息 。 可 辨识 监控 区 域内 的 每 个 目标 ， 并 
用 保存 其 3-D 物理 坐标 。 更 新 频率 可 能 不 固定 ， 造 成 丢失 更 新 信息 ， 由 此 导致 
数据 可 能 错误 。 在 该 研究 中 没有 解决 数据 链接 错误 或 遗漏 的 影响 作用 ， 这 为 今后 
的 研究 提出 了 一 项 具有 挑战 性 的 任务 。 这 些 错误 已 经 成 为 一 些 测量 实验 的 主要 研 
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究 内 容 ” ， 但 这 些 分 析 都 需要 考虑 本 模型 中 未 关注 的 随机 性 ， 而 在 本 模型 中 只 
关注 逻辑 错误 。 

在 第 2 阶段 ， 利 用 算法 根据 预定 义 的 一 组 值 来 确定 每 个 目标 的 状态 : 滑行 、 
起 飞 前 、 起 飞 、 息 升 、 着 陆 、 弹 射 和 飞行 等 模式 。 将 在 5.3 节 中 详细 讨论 这 些 状 
态 的 具体 含义 。 

第 3 阶段 主要 是 负责 入 侵 检 测 ， 并 根据 自身 和 目标 对 象 的 空间 属性 (位 置 、 
朝向 和 加 速度 ) 以 及 某 些 逻辑 条 件 来 对 每 个 目标 执行 。5. 3.2 节 中 的 表 S. 1 给 出 
了 这 个 阶段 的 操作 状态 短 阵 。 安 全 性 分 析 主 要 着 重 于 验证 表 中 所 列 决策 准则 是 否 
能 够 检测 到 所 有 可 能 发 生 的 人 侵 场景 。 


5.2.3 RSM 的 形式 化 验证 


在 此 ， 采 用 基于 模型 的 方法 来 验证 ， 而 不 是 试图 验证 实际 的 C 代码 本 身 ， 
主要 有 两 个 原因 : 首先 ， 主 要 安全 性 能 (“无 漏 警 ") 的 展示 需要 环境 表示 (如 
仅 由 软件 跟踪 的 目标 运动 ， 而 在 代码 中 没有 表示 控制 目标 的 动态 规律 ) ; 其 次 ， 
不 清楚 时 序 逻 辑 模型 校 验 能 和 否 处 理 这 种 规模 的 代码 (与 其 他 已 应 用 于 航空 电子 
软件 的 静态 分 析 技术 相 比 ) 。 

本 书 认为 ， 对 于 该 应 用 ， 一 个 离散 状态 模型 已 足够 (以 及 对 于 类 似 的 航空 
交通 监控 应 用 ， 只 是 具有 在 途中 或 机 场 两 种 状态 ) 。 因 为 在 通过 软件 可 观测 的 任 
何 行为 下 ， 系 统 状态 都 是 离散 的 ， 这 是 由 于 飞机 位 置 是 每 隔 固 定时 间 获 取 的 ， 而 
不 是 连续 的 。 

在 描述 提取 的 RSM 模型 前 ， 先 回顾 一 下 过 去 几 年 中 所 开发 的 符号 验证 技术 
的 主要 特点 。 
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5.2.4 符号 模型 校 验 结构 


在 对 大 型 复杂 系统 应 用 符号 模型 校 验 时 ， 内 存 和 时 间 的 需求 会 很 快 成 为 一 个 
巨大 障碍 。 为 缓解 该 问题 ， 可 尝试 利用 所 研究 系统 的 特殊 性 质 。 称 为 结构 化 符号 
模型 检验 "1 的 技术 在 应 用 于 全 局 异步 /局 部 同步 系统 时 非常 成 功 “ HER 
思想 是 局 部 识别 ( 即 事实 上 ， 大 多 数 事件 只 影响 少数 状态 变量 ) ， 并 使 用 该 方法 
来 实现 饱和 式 定点 迭代 ， 以 代替 传统 的 广度 优先 和 迭代 〈 即 以 一 个 特定 的 位 置 引 
导 顺 序 来 搜索 事件 ， 可 大 大 降低 决策 图 的 峰值 大 小 ) 。 

将 离散 状态 模型 表示 为 一 个 三 元 组 (Sps Sms N), HP, Spo IERE M 
在 状态 集合 ，Su ES URERA, N: Sm 一 2 为 在 单 步 下 从 每 个 状态 可 
达 的 指定 状态 的 下 一 个 状态 艺 数 。 在 实际 应 用 中 ， 以 某 种 高 度 形式 化 方式 (如 
Petri 网 或 进程 代数 ) 来 紧凑 地 描述 该 模型 ， 但 5,, 的 规模 通常 会 很 大 。 接 下 来 ， 
一 个 基本 问题 是 确定 从 初始 状态 经 重复 执行 下 一 个 状态 函数 真正 可 达 的 状态 集 
合 。 从 形式 化 上 ， 相 对 于 NM， (可 达 ) 状态 空间 5S, C 5% 是 封闭 S;; 的 最 小 超 
集 ， 即 

Sa =S UN (Sinn) ON ON (Sint) ) Ut = N * (Sini) 
其 中 ,，“ *” 表 示 自 反 传递 闭 包 , 且 N(X) =U Nli). 

构建 模型 的 第 一 步 是 将 模型 分 解 为 天 个 子 模 型 ， 或 换 名 话说， 即将 一 个 
(全 局) RAS iN KAC, co, 4), ， 其 中 ，z 为 子 模型 大 的 局 部 状态， 其 中 
Kk 宇 1。 因 此 ， 潜 在 状态 空间 可 由 个 局 部 状态 空间 又 乘 而 给 定 ， 即 5, = 
Sk Xo XSi 6 

假设 ,此 时 已 知 每 个 S$;:， 可 将 其 中 每 个 局 部 状态 六 映射 到 范围 为 10， 
1,，…,ns -1| PRS i, Hen, = 1S1 1。 然后， 就 可 确定 S;， 且 的 取 值 为 
(0, 1, =, n, 一 1| ， 并 对 5,,, 上 准 降 阶 多 路 决策 图 ( MDD)“ “1 中 的 任意 集合 
x SS yo. EFT HAAS « 

在 形式 化 上 ，MDD 是 一 个 有 向 非 循 环 的 边 标记 多 重 曲 线 图 ， 其 中 : 

e 每 个 节点 p 属于 |K，…，1,0| 中 的 同一 层 。 如 果 某 层 为 K>0， 也 可 认 
为 该 节点 是 指 变 最 xx; 

e 层次 0 只 能 包含 两 个 终端 节点 Zero 和 One; 

© 如 果 存 在 一 个 无 输入 弧 的 唯一 根 节 点 r+， 则 该 节点 位 于 层次 KK， 或 为 终端 
节点 Zero; 

e 一 个 位 于 层次 上 >0 的 节点 p 具有 输出 边 n, WHO ~m -1s HA LER 
记 的 边 指向 节点 4， 该 节点 为 终端 节点 Zero， 或 位 于 层次 -1 的 一 个 节点 ， 记 为 
pli] =q; 

e 在 此 没有 重复 节点: WR p Ag 均 位 于 层次 k， 且 对 于 所 有 i e 8S;:， 满 足 
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pli] =q [i], Wp =qe l 
值得 注意 的 是 ，MDD 是 一 种 非常 成 功 的 BDD AZIE, Hep, eS x 
限于 二 元 选择 ， 因 此 ， 只 要 n, >1， 就 需要 一 个 多 重 布尔 变量 来 对 单个 序号 uut 


行 编码 。 
MDD 通过 以 下 定义 的 递归 公式 来 对 一 组 状态 B(r) 进行 编码 : 
o p = Zero 
B(p) = {itp [i] =One} p 位 于 层次 1 
Unes til xB (p[i]) p 位 于 层次 k>1 
TES RIE, SARS? XxX”， 即 5S,, 的 所 有 子 集 ， 应 同时 保存 。 
这 是 通过 MDD 来 预 凋 所 存储 的 这 些 MDD 的 根 节点 ""” ，…，r'"”"， 并 使 得 这 些 


根 节 点 共享 来 实现 ， 由 此 可 避免 重复 ， 即 使 在 不 同 的 MDD 之 间 。 所 定义 的 一 个 
MDD 的 基本 特性 是 典型 性 (canonical): 对 于 一 个 给 定 的 变量 顺序 xx，…,，xi， 
表示 同一 集合 的 两 个 节点 是 同 构 的 ， 且 当 采 用 MDD 预测 时 ， 这 种 情况 可 利用 哈 
EKR (hash table) 技术 在 0(1) 时 间 内 很 容易 地 确认 。 

除了 紧凑 表示 MDD 所 提供 的 状态 集合 ， 符 号 方法 还 需 对 下 一 状态 函数 进行 
紧凑 表示 。 由 于 和 NN 可 看 做 是 一 组 节点 对 (i, 7)， 其 中 je NW(i)， 由 此 可 利用 一 个 
包括 所 有 “起 始 ” 变 量 xx，…， x 和 “终止 ”变量 yx，…， yi 的 层次 为 2K 的 
MDD 来 保存 。 然 而 ， 这 种 单 片 MDD 编码 通常 需要 大 量 内 存 。 接 下 来 ， 构 建 模型 
的 第 2 步 是 将 NN 分 解 为 下 一 状态 函数 的 析 肥 中 : NC) SULLA GO), EP e 8 
事件 的 有 限 状 态 集 ，N。 是 与 事件 a 相关 的 下 一 状态 函数 。 此 时 ， 可 认为 当 事 件 
o TEARS i RA OH I, Nali) 为 一 组 可 进入 的 系统 状态 ， 且 如 果 N,(i) = 
p, Wa ERA 1 TM, Re, WHA. HH, AAA De LAER (xy, 
Yks x, V1) 的 MDD 森林 中 保存 |s|MDD FAT RARER FEN) 所 需 的 内 存 
要 求 。 

这 种 结构 化 方法 根据 天 个 状态 变量 进一步 执行 ， 并 对 每 个 N。 划分。 一 种 有 
17r RH E EGR AT HE (Markov chains)!" 启发 的 Kronecker 表示 法 5] ， 
假设 模型 为 Kronecker 一 臻 ， 即 NN, 可 共同 分 解 为 K 个 局 部 下 一 状态 函数 NN ,: 
$72", Hh, K>k>1, HWE: 

V (ig, di) eS, Mug vn 5) =N s Kk) Xe XN a (ty) 

定义 天 ， |e | 矩阵 为 Ni。 € (0, 1j"?", BH N,, [irs ài] =ley, € NL.) , 
将 Ms 编译 为 一 个 Kronecker 积 : je N.GQG) eG) sisiN, a li, 4] 21, HH, 3 
S i MERS a PI—NE GES, HORNER (HRE) Kronecker fH, 

人 的 Kronecker 编码 在 内 存 方面 也 是 相当 有 效 的 ， 这 是 由 于 其 可 用 于 确定 和 
搜索 局 部 事件 。 若 N, 。 -I (单位 矩阵 ) ， 则 认为 事件 a 是 与 层次 无 关 的 。 对 于 


第 5 章 航空 电子 设备 的 符号 模型 校 验 79 





全 局 异步 /局 部 同步 模型 ， 大 多 数 事 件 仅 影响 少量 状态 变量 而 与 其 他 状态 变量 无 
关 。 只 有 矩阵 Ni 。z 了 需要 真正 存储 ， 在 实际 应 用 中 ， 其 存储 量 通 常 为 0( | |) 
而 非 OC K+ |s|)。 此 外 ， 这 些 矩 阵 在 实际 中 是 极其 稀 朴 的 ， 并 且 通 常 仅 需 要 
0(n) 量 级 的 内 存 而 非 O(n; ) o 


5.2.5 符号 状态 空间 生成 饱和 算法 


确定 局 部 性 事件 不 仅 对 于 NV 的 Kronecker 表示 至 关 重 要 ， 同 样 ， 对 于 饱和 算 
法 也 是 如 此 。 设 Top(a) 和 Bot(a) 分 别 表示 N, a #1 时 的 最 高 层 和 最 低层 。 
如 果 对 于 使 得 Top(a) <k 的 所 有 事件 a， 为 一 个 定点 ， 则 可 认为 位 于 层次 上 的 一 
个 节点 p 是 饱和 的 ， 即 

Vi, ESk X X Ska Top(a) Sk=> 
| (1g, aiki ) | x B(p) 2A. | (igr sirrg) } x B(p) ) 

ix n EXE XN ar = UrataskwVs， 并 将 Wo。 应 用 于 一 组 lSTop(a) fg y € 
Sx XSF, WHR ABP) 2N a (B (PP))， 这 是 因为 Ne 保持 所 有 大 于 
Top(a) 的 局 部 状态 不 变 。 

饱和 度 算法 首先 采用 MDD 对 初始 状态 Si 编码 ， 并 自 下 而 上 使 得 节点 饱和 。 
一 个 简化 的 算法 高 层 伪 代码 如 图 5.2 Bras, FLA, e, = | a: Topla) =k}. 

采用 多 重 舱 套 的 简单 定点 迭代 来 实现 饱和 ， 不 同 于 传统 的 广度 优先 方法 ， 即 
在 每 次 迭代 过 程 中 ,将 每 个 N。 应 用 于 整个 已 知 状态 集合 ,或 应 用 于 整个 新 出 现 
状态 集合 。 只 要 对 位 于 层次 的 某 个 节点 p 执行 饱和 操作 ， 则 其 子 节点 均 已 饱 
和 。 为 使 得 节点 p 饱和 ， 该 算法 对 满足 Topla) = 上 的 事件 a 中 所 有 节点 p 重复 
激活 ， 直 到 达到 某 一 定点 。 且 满足 附加 条 件 : 如 果 在 层次 之 下 激活 创建 新 的 节 
点 ， 则 在 这 些 节点 实现 节点 p 饱和 之 前 立即 饱和 。 

文献 [18] 的 结果 表明 在 内 存 和 时 间 两 个 方面 ， 该 方法 均 比 广度 优先 的 符 
号 搜索 方法 提高 几 个 数量 级 ， 使 得 这 成 为 在 全 局 异步 /局 部 同步 的 离散 事件 系统 
中 状态 空间 生成 的 最 有 效 的 符号 定点 迭代 策略 。 

尽管 所 提 算 法 假设 在 调用 状态 空间 生成 之 前 已 知 局 部 状态 空间 5S;， 但 这 
并 非 一 个 必要 条 件 。 现 已 对 饱和 算法 进行 扩展 ， 使 得 可 通过 所 提出 的 局 部 符 
号 状态 空间 生成 交叉 结 合 显 式 局 部 状态 空间 搜索 来 实时 发 现 新 的 局 部 状 
态 ，! 。 在 这 种 情况 下 ,算法 实现 基本 上 更 加 困难 ,但 理论 复杂 性 保持 不 变 ， 
且 随 着 建 模 人 员 不 再 考虑 局 部 状态 变量 的 边界 ， 在 实际 应 用 中 大 大 提高 建 模 
容易 程度 。 
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T 
StateSpageGeneration (7) /为 MDD 编 码 Sinit 的 根 节点 


1.for k=] to K do 自 下 而 上 使 得 初始 节点 饱和 
2. 对 于 每 个 MDD 根 节点 为 /的 位 于 层次 k 上 的 节点 p 执 行 Saturate(p) 


Saturate (p) 设 k 为 节点 p 所 在 层次 
1. 重 复 执行 更 新 ， 使 之 满足 固定 点 


B(p)-B(p)U VSk(B(p)) 








2. 选 择 一 个 iie St， 使 得 满足 p[it]#Zero， 以 及 一 个 ae 6 使 得 满足 Ni(iD)# 中 


{ix}XB(p[ix]) 中 的 一 个 状态 可 使 能 a 

3. 对 于 每 个 EMC). 设置 p[ ji] 到 Union(plj,].Firesat(a,p[i4])) 
更 新 p 位 于 正确 位 置 

4. 直 到 p 不 再 变化 


5. 返 回 MakeUnique(p) ”如 果 p 多 次 重复 一 个 节点 d, 则 去 除 p 并 返回 d 
aa 











- 
FireSat (a. p) 设 k 为 节点 p 所 位 于 的 层次 , 注意 Top(a)>k 





1. 如 果 Bot(a)>k, BUR [i] p 递归 激发 的 终止 条 件 


2. 如 果 已 预先 计算 =FireSat(a,p), WEES 
查找 FiringCache 
3. 创建 一 个 位 于 k 层 次 的 新 节点 /， 且 所 有 边 指向 Zero 
不 能 调节 p 位 于 正确 位 置 
4. 对 于 每 个 ire Si, 使 得 满足 p[ix]Zero， 且 对 每 个 jENi(i) 执 行 
5. HESJA] UnionC/[j, ]); Firesat(a, p [i])) 
… 但 可 以 调节 节点 到 正确 位 置 
6. 3B [B] Saturate(/) 








Union( p, q) 设 上 为 节点 P 和 4 所 位 于 的 层次 
1. an Fb p =Zero mk q= Onesk p=q, BR [8] g 








2. WR q= Zero KR p= One, WE E p 


3. 如 果 已 预先 计算 4=Union( p,q), 则 返回 7 
查找 UnionCache 


4. 创建 一 个 位 于 层次 k 的 新 节点 w， 且 所 有 边 指向 Zero 
5. 对 于 每 个 iie Si 设置 u[i4] 到 Union(p[ix].9[ix]) 
6. 返回 MakeUnique(z) 如果 wu 多 次 重复 一 个 节点 d, 则 去 除 u 并 返回 4 








图 5.2 利用 MDD、Kronecker 和 饱和 迭代 来 生成 状态 空间 
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5.2.6 ”基于 饱和 算法 的 模型 校 验 


采用 下 一 状态 函数 的 Kronecker 表示 的 优点 还 可 应 用 于 状态 空间 生成 的 广度 
优先 迁 代 ， 以 及 应 用 于 符号 计算 树 逻 辑 (CTL) 模型 校 验 的 一 般 迭 代 天 “ ， 后 
者 更 具 挑 战 性 。 

众所周知 ， 一 个 CTL 公式 可 用 EX、EU 和 EG 3 个 运算 符 ， 以 及 布尔 操作 符 
”、A 和 V 来 表示 。 显 然 ， 饱 和 算法 不 适用 于 EX 运算 符 的 计算 ， 这 是 由 于 这 会 
涉及 下 一 状态 函数 NN 的 每 一 步 应 用 ， 而 包含 饱和 算法 的 任何 定点 算法 关注 于 在 模 
型 进化 步骤 中 的 任意 长 序列 。 类 似 地 ，EG 运算 符 从 一 组 满足 特定 条 件 p 的 状态 
PP 开始， 从 中 迭代 去 除 迁 移 到 状态 je PP 的 任 一 状态 i。 也 就 是 说 ， 不 同 于 状态 空 
间 生 成 ， 其 中 一 个 状态 j 可 添加 到 一 组 状态 集 5,, 中， 如 果 存 在 任 一 对 于 某 些 状 
态 ie 6, 满足 jeN,(i) WE a, Æ EG 和 迭代 需求 中 移 除 某 个 状态 的 条 件 是 需 
要 校 验 所 有 事件 。 因 此 ， 饱 和 算法 不 可 能 直接 用 于 EG. 

然而 对 于 EU 运算 符 ， 情 况 好 很 多 '”! 。 首 先 ， 由 于 EFg 等 价 于 El trueUVg] , 
因此 ， 可 将 EF 运算 符 看 作 EU 的 一 个 特殊 情况 。 为 符号 计算 一 组 满足 EFg 条 件 
的 状态 ， 可 从 满足 状态 条 件 q 的 集合 @ 开 始 , “ 赶 着 模型 反 向 走 ”， 并 对 @ 增 加 可 
迁移 到 Q 中 某 一 状态 的 所 有 状态 。 这 正 是 状态 空间 生成 问题 ， 其 中 ，Q 为 初始 状 
态 集合 ， 且 下 一 状态 函数 为 模型 原始 下 一 状态 函数 的 逆 ， 即 ieN-! (])， 当 且 
仅 当 jeN(i)， 因 此 饱和 算法 可 自然 而 然 地 利用 其 所 有 优点 。 值 得 注意 的 是 ， 通 
过 NV 的 Kronecker 编码 ， 足 以 利用 转 置 矩 阵 Ni ,来 描述 模型 的 反 向 进化 。 

然而 ， 在 处 理 计算 满足 条 件 到 [pUq] 的 状态 的 一 般 问 题 时 ， 不 能 直接 应 用 
原始 的 饱和 算法 ， 这 是 因为 必须 保证 从 Q 中 状态 反 向 进入 时 ， 不 会 偏离 也 中 的 状 
态 ( 即 满足 p)。 文 献 [23] 提出 的 解决 方案 是 将 事件 e 分 为 安全 事件 ss 和 不 安 
全 事件 su。 前 者 集合 的 显著 特征 是 对 于 任何 安全 事件 a 和 任何 状态 jePUQ， 
ie; G) 同样 意味 着 iePUQ， 即 通过 激发 a 不 可 能 从 一 个 不 满足 p 或 g 的 
状态 运动 到 一 个 满足 p 或 g 的 状态 。 对 所 有 事件 进行 分 类 的 代价 ， 本 质 上 就 是 一 
种 广度 优先 迭代 (每 个 事件 必须 反 向 激发 一 次 )。 然 后 ， 可 通过 用 一 种 后 向 广度 
优先 步骤 〈 即 具有 eu 事件 集合 的 EX) 来 代替 对 于 安全 事件 的 反 向 饱和 步骤 ( 即 
ap 直到 不 再 增加 状 
态 。 这 种 基于 饱和 的 EU 算法 的 效率 取决 于 模型 ， 尤 其 是 取决 于 有 多 少 事 件 归 类 
为 安全 事件 。 在 最 佳 情况 下 ， 所 有 事件 都 是 安全 的 〈 如 在 EF 情况 下 ) ， 而 在 最 
坏 情况 下 ， 没 有 事件 是 安全 的 (复杂 性 就 是 传统 的 符号 广度 优先 算法 ， 尽 管 仍 
有 具有 A 由 Kronecker 表示 的 优势 ) 。 

最 近 ， 提 出 了 一 种 用 于 饱和 算法 进行 EU 计算 的 另 一 种 方法 '1， 其 中 , 通 
过 与 Px 5%。 的 相互 作用 ， 在 进行 反 向 时 通过 保持 约束 到 中 来 调节 每 个 下 一 状态 
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函数 NV。， 在 开始 计算 前 或 在 定点 迭代 中 实时 动态 执行 。 该 新 方法 比 文献 [23] 
中 的 方法 更 加 有 效 ， 但 它 没 有 被 发 现 的 时 候 ， 进 行 了 在 本 章 中 所 描述 的 研究 。 


5.2.7 ”随机 模型 校 验 可 靠 性 和 定时 分 析 工 具 (SMART) 


这 里 所 介绍 的 符号 技术 在 SMARTL9 工 具 中 得 以 应 用 。 给 定 将 一 个 系统 描 
述 为 扩展 Petri 网 [9 情况 下 ，SMART 可 生成 状态 空间 ， 验 证 时 序 逻 辑 特性 ， 并 
计算 定时 分 析 和 随机 分 析 的 数值 解 。 在 SMART 中 实现 了 大 量 的 显 式 方法 和 符 
号 方法 。 除 了 利用 MDD 来 对 状态 集合 进行 编码 ， 并 通过 Kronecker zI, FE 
I p] 21 a MDD 来 对 下 一 状态 函数 进行 编码 之 外 ，SMART 还 利用 一 种 特殊 形 
式 的 边缘 值 MDD ( EV* MDD) "3 来 生成 CTL 模型 校 验 中 的 最 小 长 度 反 例 和 
证 据 。 

SMART 输入 是 一 个 具有 图 灵 等 价 扩展 (直接 迁移 、 标 志 相 关 弧 基数 和 迁移 
保护 ) 5 的 有 限 状 态 空间 的 扩展 Petri 网 。 每 个 SMART 输入 文件 都 定义 了 一 个 或 
多 个 结构 化 〈 即 划分 为 子 模型 ) 模型 。 一 个 模型 可 参数 化 并 定义 一 系列 在 本 例 
中 认为 是 通过 搜索 系统 状态 而 评价 为 逻辑 查询 的 测量 值 。 

可 在 网 上 获取 SMART AFR EE 


5.3 RSM 的 离散 模型 


5.3.1 整 型 变量 和 实 型 变量 抽象 化 


自动 抽象 技术 是 非常 期 望 的 且 已 成 功 地 用 于 许多 应 用 领域 。 最 著名 的 相关 技 
术 包括 抽象 解释 ” 、 域 抽象 ” 、 数 据 抽 象 “”” 、 谓 词 抽 象 ”““ 、 自 动 抽象 细 
化 (CEGAR) 2 , yp p i 3 P757 、 数 据 等 效 ” 、 切 片 "9 和 常规 无 限 状 态 空 
间 校 验 ” 。 

由 于 手动 抽象 通常 需要 完全 理解 系统 及 其 发 展 变化 ， 因 此 一 直 以 来 视 为 非常 
划 手 的 问题 。 然 而 ， 在 许多 情况 下 ， 可 根据 所 用 工具 的 性 能 特点 来 定制 手动 建立 
的 模型 。 因 此 ， 如 果 建 模 人 员 对 整个 系统 过 程 具有 良好 的 控制 ， 那 么 手动 抽象 通 
常 也 能 产生 较 好 的 结果 。 但 随 着 自动 化 的 高 度 需 求 ， 非 常 普通 的 自动 抽象 方法 都 
会 导致 手动 抽象 逐渐 消失 。 例 如 ， 所 生成 的 抽象 可 能 效率 较 低 、 不 准确 ， 或 在 
CEGAR 情况 下 易 受 芝 诺 〈Zeno) 效应 的 影响 。 

此 外 ， 在 本 例 的 特定 情况 下 ， 需 要 根据 全 局 异步 /局 部 同步 系统 的 分 析 来 
确定 饱和 目标 。 通 过 连续 化 环境 的 建 模 以 及 在 模型 中 具有 高 度 局 部 事件 特性 的 
离散 系统 事件 ， 可 利用 基于 饱和 的 模型 校 验方 法 成 功 地 构建 抽象 模型 的 状态 空 
间 。 尽 管 不 再 需要 降 阶 技术 〈 部 分 降 阶 、 对 称 、 谓 词 抽 象 ) ， 但 其 中 的 某 些 技 
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术 可 能 与 离散 化 方法 完全 正 交 ， 从 而 可 用 于 降 阶 模型 的 顶层 。 同 时 ， 离 散 化 程 
度 并 不 那么 剧烈 (正如 在 应 用 谓词 抽象 的 情况 下 ) ， 系 统 行为 仍然 非常 接近 于 
实际 的 航天 器 轨迹 。 


5.3.2 RSM 的 SMART 模型 


与 采用 可 最 终 将 整个 三 维 空间 分 成 〈 可 能 不 规则 ， 但 逻辑 等 价 ) 很 多 区 域 
的 谓词 抽象 技术 不 同 ， 在 此 确定 固定 个 数 的 变量 (3 个 坐标 轴 上 的 坐标 ) ， 然 后 
将 这 些 变量 的 域 分 成 若干 段 。 在 进行 上 述 操 作 中 ， 需 考虑 两 个 因素 : 首先 ， 在 驱 
动 谓词 抽象 的 协议 中 ， 没 有 对 所 需 设 定 的 特性 集 进行 任何 实际 的 形式 化 规范 ; 第 
二 ， 离 散 化 类 型 可 产生 与 空间 中 航天 飞机 运动 的 几何 结构 非常 接近 的 模型 执行 结 
果 ， 从 而 可 使 得 没有 接受 过 培训 或 可 能 不 了 解 抽象 技术 的 设计 工程 师 更 好 地 
理解 。 

最 后 ， 通 过 将 模型 划分 为 n+1 个 子 模型 来 选择 系统 变量 ， 其 中 对 为 区 域内 
移动 目标 的 个 数 。 子 模型 0 的 变量 描述 其 自身 状态 ， 而 其 余 n 个 子 模型 描述 每 个 
目标 的 状态 。 对 于 子 模型 i, O<i<n, 具有 以 下 相关 属性 : 

位 置 : 一 个 三 维 矢 量 (x;，Y;，z;)， 其 中 ,， 针 轴 为 跑道 宽度 方向 ,7 HR 
沿 跑 道 长度 方 向 ,，Z 轴 为 与 跑道 重 直 的 方向 。 

速度 和 航向 : A—-DARBRKET (v, vy, 02;) 。 

沼 跑 道 方 向 的 加 速度 : ay. 

EA: 一 个 枚 举 型 变量 ， status, 。 

报警 标 志 位 : 一 个 布尔 型 变量 ，alarmi;。 

BRE: 一 个 枚 举 型 变量 ，phase;。 


相应 的 变量 域 如 下 (为 阅读 方便 省 略 下 角 i): 


e itx, y, z 可 简单 取 为 x,y, ze 10，1，2}|， 其 中 0 表示 监控 区 之 
外 ，1 表示 在 监控 区 附近 ，2 表示 在 跑道 区 域 。 然 而 ， 在 此 选择 一 种 更 精细 的 
表示 : xe 10, …, max,| ,ye |0,，…:， max,}, ze {0, =, max,}, 其中, 0 
意味 着 在 监控 区 之 外 ， 而 常量 max,，max,，max, 可 根据 建 模 人 员 的 偏好 进行 
调整 。 也 就 是 说 ， 位 置 (0, 0, 0) 表示 在 区 域 之 外 的 所 有 位 置 。 这 是 一 个 退 
出 该 区 域 或 根本 没 进 入 该 区 域 的 目标 的 位 置 。 

o 速度 值 ox, vy, vz 可 赋值 在 域 (0, +1, +2} 内 ， 其 中 0 表示 无 运 
动 ， 土 1 意味 着 缓慢 运动 〔( 低 于 预定 的 滑行 速度 阅 值 TS，45 3$), +2 意味 着 
快速 运动 (大 于 赋值 TS)。 同 样 ， 一 种 采用 另 一 个 参数 maxweo 的 更 精细 表示 


Aux, vy, vze | -maxsod, t’ 0, 5, MAX peed | o 


84 工业 关键 系统 的 形式 化 方法 : 应 用 综述 





e 加 速度 o, 只 有 两 个 相关 值 : 非 负 和 绝对 负 。 
。 基态 包括 | 场 外 ， HT, Rx, RAE, ER, PERI, til 
。 阶段 包括 | 雷达 更 新 ， 姿 态 设置 ， 检 测 | 。 


变量 阶段 作为 3 个 循环 步骤 中 每 个 步 又 所 执行 算法 的 一 个 程序 计数 器 : 


阶段 = 雷达 更 新 : 更 新 目标 位 置 。 
阶段 = 姿态 设置 : 更 新 目标 姿态 。 
阶段 = 检测 : 设置 或 复位 报警 标志 位 。 


接 下 来 ， 讨 论 上 述 3 个 步 又 中 各 个 步骤 的 建 模 决 策 。 
5.3.2.1 三 维 运动 目标 

所 提出 的 离散 化 方法 将 监控 空间 划分 为 一 个 三 维 网 格 。 航 天 器 可 能 处 于 的 位 
置 是 有 限 个 数 的 网 格 单元 ， 离 散 域 1(0,0,0)|U|1,…,max,| x | 1，…,maxy| x 
11,…,max,| 。 同 理 ， 连 续 轨迹 也 必须 由 三 维 网 格 的 离散 轨迹 表示 。 在 此 考虑 3 
种 方案 。 

首先 是 投影 法 ， 即 将 每 条 可 能 的 连续 轨迹 对 应 于 网 格 中 相应 的 离散 路 径 。 一 
个 投影 法 示例 如 图 5.3 (为 便于 可 读 性 起 见 ， 在 二 维 空间 中 表示 ) 所 示 。 图 中 具 
有 100 个 单位 大 小 (R) 的 网 格 单元 ， 每 0.5 个 时 间 单 位 (s) 采集 一 次 。 速 度 
单位 是 在 每 次 更 新 遍历 后 对 坐标 轴 分 割 测定 的 。 这 种 方法 存在 的 问题 是 难以 区 别 
物理 的 可 能 性 和 不 可 能 性 。 在 此 ， 没 有 一 种 有 效 方式 来 排除 所 有 异常 。 例 如 ， 一 
个 目标 可 以 改变 其 实际 位 置 ， 而 离散 位 置 却 未 改变 。 同 时 ， 也 难以 确定 一 个 目标 
位 于 某 一 网 格 中 的 速度 和 单位 时 间 个 数 之 间 的 相互 关系 : 可 能 是 一 次 运动 (高 
XE) 或 多 次 运动 (低速 )， 但 在 离散 模型 中 无 法 计算 一 个 网 格 内 所 允许 的 单位 时 
间 个 数 的 上 限 。 

















实际 轨迹 : (51.5,161.3).(128.5,93.6).(220.1,80.3),(318.5.111.2).…: 
离散 化 轨迹 : (1,2). (2.1), (3,1), (4.2).… 
离散 化 速度 : (+1, 一 1), (+1,-1), (+1,0), (HET) 


图 5.3 二 维 空间 中 连续 轨迹 的 投影 示例 


因此 ， 在 此 考虑 用 一 种 已 证 明 更 具有 实用 性 的 不 同 办 法 来 对 运动 目标 建 
模 。 一 种 办 法 是 允许 目标 几乎 是 自由 运动 ， 即 在 某 种 意义 上 总 是 允许 运动 到 相 
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邻 网 格 。 原 则 上 ， 一 个 目标 可 留 在 当前 网 格 内 或 以 在 坐标 x*，y，z 中 不 确定 减 
少 、 不 变 、 增 加 来 运动 到 相 邻 26 个 网 格 中 的 任何 网 格 中 。 然 而 ， 这 种 变化 必 
须 与 航向 保持 一 致 。 另 一 方面 ， 应 限制 只 能 允许 在 不 包含 大 量 轨迹 (在 物理 
上 大 多 数 是 不 可 能 的 ) 的 相 邻 网 格 之 间 迁 移 。 同 时 ， 认 为 模型 中 没有 不 包含 
实际 轨迹 。 如 果 网 格 单元 足够 大 ， 则 上 述 成 立 。 在 这 个 包含 所 有 特定 属性 的 最 
简单 模型 中 ， 网 格 单元 的 大 小 为 900ft。 给 定 每 0. 5s 在 数据 链 路 上 位 置 更 新 一 
次 ， 则 只 有 当 目 标 运行 速度 大 于 1800ft/s， 即 约 1227mile/h (或 约 1975km/h) 
时 ， 目 标 才 能 跨越 一 个 网 格 单元 ， 并 运动 到 远离 两 个 离散 位 置 的 一 个 网 格 单 
元 。 此 时 的 速度 超过 音速 的 1.6 倍 。 尽 管 假设 在 民用 机 场 跑 道上 不 存在 这 种 速 
度 并 非 完 全 可 靠 ,， 但 从 模型 中 排除 这 种 情况 是 非常 合理 的 ， 同 时 还 有 助 于 简化 
分 析 。 另 外 ， 由 于 可 能 存在 的 状态 个 数 变 得 可 控 ， 粗 略 的 离散 化 还 能 缓解 状态 
空间 爆炸 的 问题 。 图 5. 4 表明 在 第 2 种 模型 中 (为 简便 起 见 ， 也 以 二 维 空间 表 
示 ) 目标 可 能 存在 的 运动 。 


y 


yt, vy>0 


x--, UX>0 
J: 

y++, vy20 x46 ux>0 

y++, vy>0 




















图 5.4 一 个 目标 在 二 维 空间 中 可 能 存在 
的 运动 (“自由 运动 ”模型 ) 


第 2 种 模型 可 能 仍 包含 有 不 现实 的 轨迹 ， 如 在 两 个 相 邻 网 格 单元 间 来 回 摆动 
(相应 的 速度 分 量 在 正 向 和 反 向 之 间 来 回 交替 变化 ) ， 或 甚至 在 正 向 速度 下 一 直 
停留 在 同一 个 网 格 单元 中 。 

如 有 果 需 要 完全 彻底 地 消除 不 必要 的 轨迹 ， 应 考虑 禁止 速度 突然 变化 的 第 3 种 
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方案 。 也 就 是 说 ， 坐 标 x*，y，z 和 速度 分 量 vx, vy, va 至 多 只 能 有 一 个 在 绝对 值 
上 变化 。 进 一 步 可 限制 在 每 个 时 间 点 处 只 能 允许 速度 增 大 、 减 小 和 不 变 ， 且 坐标 
相应 更 新 : 如 当 速 度 分 量 ox 非 负 时 ， 变 量 x 不 能 减 小 。 

与 自由 运动 模型 相 比 ， 图 5. 5 给 出 当前 状态 下 ， 速 度 为 w =3 M vy =3 的 一 
个 目标 可 能 处 于 的 下 一 状态 (二 维 空间 中 )。 在 这 种 情况 下 ， 对 应 于 x All y 不 变 
或 相互 独立 的 增 大 ， 只 有 4 个 可 能 的 新 位 置 。 所 减少 的 选择 个 数 是 由 于 速度 只 能 
为 正 ， 而 不 允许 在 负 轴 方向 上 的 任何 运动 。 只 有 在 当前 状态 下 速度 分 量 为 0 时 ， 
目标 才能 在 相应 坐标 轴 的 方向 上 运动 。 从 两 个 随后 的 观测 位 置 可 推导 出 速度 ， 从 
而 目标 需 从 一 个 网 格 单元 运动 到 相 邻 的 另 一 个 网 格 单元 〈 例 如 ， 从 x =3 F) x = 
4), ， 即 使 在 这 个 方向 上 的 相应 速度 为 0 (ox 20) ; 在 下 一 步 中 ， 速 度 上 将 会 体现 
一 变化 (wx =1) ， 如 图 5. 6 所 示 。 在 这 个 模型 中 ， 至 少 需要 两 个 步 又 使 得 速度 
从 正 向 变 为 负 向 (反之 亦 然 )。 这 意味 着 不 可 能 出 现 “ 之 字形 运动 "， 这 在 分 析 
中 具有 非常 重要 的 作用 ， 正 如 在 5. 3. 3 节 中 所 述 。 
5.3.2.2 姿态 定义 

在 循环 执行 的 第 2 个 阶段 ， 根 据 其 他 状态 信息 ， 可 确定 性 地 更 新 每 个 航天 器 
的 姿态 变量 。 在 本 模型 中 ， 姿 态 变量 如 下 : 


艺 十 十 
vz,vy >1 


图 例 : Q 当前 状态 Qh 可 能 的 下 一 状态 





图 5.5 满足 w =3 和 wy=3 时 状态 可 能 
发 生 的 运动 (“限制 ”模型 ) 
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图 5.6 满足 w=1 和 w=0 时 状态 可 能 
发 生 的 运动 (“限制 ”模型 ) 


场 外 : 不 在 监控 区 内 
=(x=0) A(y=0) A(z=0) 
滑行 : 在 地 面 上 低速 或 不 与 跑道 航向 同 向 的 运动 
=(z=1) A(|ux|< TSA |vy|< TS))V (wz0) 
起 飞 : 在 地 面 上 ， 与 跑道 航向 同 向 的 加 速 运动 
=(z=1) A(|vy|> TS) A(x =0) A(a,20) 
弹射 : 在 地 面 上 ， 与 跑道 航向 同 向 的 减速 运动 
=(z=1) A(|vy| > TS)A(w=0) A Ca, <0) 
EF: 在 空中 ， 与 跑道 航向 同 向 以 绝对 正 向 垂直 速度 的 运动 
=(z>1) A (ox =0) A (vz 50) 
降落 : 在 空中 ， 与 跑道 航向 同 向 以 负 向 垂直 速度 的 运动 
=(z>1)A 人 (ww=0)A 人 (zz 和 0) 
飞行 : 在 空中 ， 不 是 扑 升 或 降落 模式 
=(z>1) A (wz0) 
5.3.2.3 报警 标志 位 设置 
RSM 算法 的 第 3 个 也 是 最 重要 的 阶段 是 对 每 个 目标 设置 报警 标志 位 。 在 伪 
代码 中 ， 这 相当 于 一 个 单 变量 的 赋值 语句 : 根据 表 5. 1 所 示 的 操作 状态 矩阵 中 其 
他 变量 当前 值 的 不 同 组 合 来 设置 每 个 alarm, 的 值 (布尔 型 ) 。 
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表 5.1 RSM 报警 标志 位 设置 时 的 操作 状态 矩阵 








目标 一 滑行 起 飞 Me Ft 降落 弹射 飞行 
自身 | 一 a Af a Af a Af aAcAf — 
滑行 
起 飞 aAf dVe dVe dVe aVd bAc 
mu aff dVe dVe dVe dVe bAc 
降落 aAT dVe dVe dVe aVd bAc 
弹射 aAcAf aVd aVd aVd dVe bAc 
飞行 bAe bAc bAc bAc 一 


cE: a: 接近 距离 ; b: 在 起 飞 或 降落 航道 时 ; ec: 小 于 最 小 间隔 的 距离 ; d: 在 同一 方向 上 低 于 最 低 间 
隔 的 起 飞 或 降落 ，e: 在 相反 方向 上 接近 距离 的 起 飞 或 降落 ; f: 在 或 接近 跑道 上 滑行 或 静止 。 

在 Petri 网 中 很 难 对 这 一 相当 复杂 的 赋值 语句 建 模 ， 这 是 因为 两 个 因素 。 
首先 ， 如 “距离 接近 ”或 “在 起 飞 航道 ”的 谓词 可 能 涉及 几何 方程 和 线性 方 
程 ， 且 难以 在 离散 模型 中 表示 。 人 然而， 某 些 因素 会 使 得 任务 更 加 容易 : 设计 人 
员 只 要 坚持 简单 的 解析 几何 概念 ， 就 可 避免 逐个 案例 分 析 。 例 如 , “与 目标 i 
的 距离 接近 ”通常 应 通过 比较 当前 状态 和 之 前 状态 的 表达 式 值 
V(xo =a)? (yo — y) + (Zo —2,) 来 进行 评估 。 这 进一步 意味 着 每 个 目标 之 前 
的 位 置 应 存储 在 一 组 辅助 变量 中 ， 记 为 oldx;，oldy;，oldz;， 从 而 进一步 扩大 了 
状态 空间 。 然 而 ， 这 可 通过 利用 由 每 个 航天 器 获得 的 姿态 信息 来 避免 。 例 如 ， 如 
果 航 天 器 自身 正在 滑行 ， 而 目标 i 在 起 飞 , 可 知 如 =1, vy, vy <TS, z =1, 
vx, =0, |vy;| >TS， 并 且 vz =v; =0。 即 目标 在 地 面 上 ， 与 跑道 对 齐 ， 且 运动 速 
度 超过 最 高 滑行 速度 。 随 着 距离 不 断 接 近 ， 根 据 航 天 器 自身 的 运动 方法 ， 足 以 位 
于 目标 之 前 。 因 此 ， 在 这 种 情况 下 ， 谓 词 可 表示 为 


a=(vy, 50A y, » y,) V (vy, «0A y, € y;) 
其 他 谓词 可 类 似 地 表示 如 下 : 


bAc =(vy »5OAy, y, y, +1 A |x, x, | <1 Az, <2) 
(wo «0 A y, -1 Sy; SY A | Xo -x |<1 Az, <2) 





d=vyy * vy, »0A |xo -x;| &1A ly, - y, | 1 
e= (vy; >0 Avy; «OA y, Zzyo) V (vo «O Avy, 30A y, Syo) 


f=] €x; « max, 


其 中 ， 上 述 示例 表达 式 的 推导 是 针对 以 下 一 对 状态 : bA c 表示 起 飞 一 一 飞行 ; d 
和 e 表示 起 飞 一 一 起 飞 。 

表 5.2 给 出 了 某 个 目标 在 基于 SMART 模型 下 的 状态 空间 测量 。 表 中 的 缺失 
项 对 应 于 需要 过 多 的 运行 时 或 内 存 的 参数 选择 。 
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尝试 采用 其 他 工具 均 以 失败 告终 : 符号 模型 校 验 器 NuSMV 甚至 在 开始 生成 
之 前 就 内 存 不 足 ， 这 是 由 于 迁移 关系 的 二 元 决策 图 (BDD) 编码 太 大 ， 而 显 式 
模型 校 验 器 SPIN 只 能 探索 可 揭示 某 些 问 题 的 非常 小 的 部 分 状态 空间 〈 即 使 采用 
部 分 降 阶 也 小 于 1/10‘) 。 


表 5.2 RSM 模型 的 状态 空间 生成 测量 





MAX speed > 2 3 4 5 

| 网 格 大 小 状态 空间 生成 时 间 (s) 

3x5x4 75.92 105. 17 179. 28 252. 25 

3x7x4 195. 54 324. 65 604. 23 805. 95 

3x10x5 995. 18 2212. 24 4668. 55 7348. 27 

5x10x7 48257. 30 — = 一 
内 存 占 用 (MB) 

3x5x4 11. 19 21. 20 32. 58 49. 39 

3x7x4 18. 27 36. 02 56.91 87. 25 

3x10x5 42. 59 83. 53 138. 56 218. 85 

5x10x7 246. 22 — = 一 


5.3.3 RSM 模型 校 验 


验证 工作 主要 集中 于 确定 表 S. 1 中 的 和 矩阵 操作 是 否 可 以 保证 不 存在 漏 报警 情 
况 。 由 于 在 协议 规范 中 不 包括 该 必要 条 件 的 形式 化 描述 ， 因 此 必须 探索 不 同 的 方 
式 来 表示 这 一 特性 。 
利用 如 下 谓词 来 定义 关键 概念 (下角 。 和 1 分别 是 指 航天 器 自身 和 目标 ) : 
detect= phase, = detect 人 phase, = detect 
sep=distance(o, t) > minimum separation 
alarm = alarm, = true 


track & status, ¢ | taxi, flythru] V status, ¢ |taxi, flythru} 


5.3.3.1. 安全 性 能 
是 否 存 在 不 满足 最 小 间隔 且 报警 关闭 的 跟踪 状态 ? 
e Æ CTL #46] P; EF (detect A track A^ alarm) 
模型 校 验 咒 返回 一 个 在 当前 状态 下 不 满足 谓词 “距离 正在 接近 ”的 监测 状 
态 。 这 是 图 5. 7 所 示 的 情况 。 然 而 ， 由 于 该 报警 标志 可 能 是 在 之 前 状态 下 设置 
的 ， 当 最 小 间隔 信息 第 一 次 丢失 时 ， 这 可 能 并 不 对 应 于 一 个 不 必要 行为 。 报 警 变 
量 的 值 取决 于 报警 是 否 “过 时 ”或 不 适用 于 更 多 的 循环 周期 。 
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随 着 在 一 个 特定 时 间 内 检测 该 性 能 ， 而 不 考虑 导致 当前 状态 的 事件 发 生 序 
列 ， 可 观察 到 “无 记忆 ”的 特性 会 影响 查询 结果 。 为 更 好 地 理解 这 个 系统 ， 接 
下 来 探讨 两 个 航天 器 之 间 违 反 最 小 间隔 距离 后 的 系统 状态 。 


图 例 : 


e 自身 位 置 
€ 目标 位 置 
> 最 小 间隔 





图 5.7 违反 第 一 安全 性 能 的 情况 (在 地 面 上 ) 


5.3.3.2 造成 间隔 损耗 的 状态 转移 
是 否 存在 向 当前 状态 迁移 且 报警 关闭 而 导致 最 小 间隔 损耗 的 状态 ? 
* EF (detect A track A sep A E[ (^ detect) U ( detect A track A ^ sep A ^ 


alarm) ] ) 


对 于 该 查询 ， 观 察 到 的 是 航天 器 自身 在 降落 或 候 升 状态 ， 而 目标 比 航天 器 自 
身 速 度 更 快 地 以 一 定 角度 在 间隔 距离 内 运动 以 从 跑道 一 侧 飞 越 ( 见 图 5.8)。 在 
这 种 情况 下 ， 设 置 报警 的 条 件 是 “距离 小 于 最 小 间隔 并 且 目 标 位 于 起 飞 或 降落 
的 轨道 上 。” 在 此 ， 第 2 项 不 满足 ， 所 以 没有 报警 。 若 两 者 都 未 接收 到 报警 ， 那 
么 航天 器 就 可 能 真正 相 撞 (LES 5. 8 中 的 相交 轨迹 ) 。 















图 例 : 







航天 器 自身 = 降落 e 自身 位 置 
目标 = 飞行 Q 目标 位 置 
距离 <MS Be 1 

不 在 降落 轨道 C) AA 






报警 =OFF 









报警 =OFF 位 于 降落 轨道 
图 5.8 场景 2， 空 中 : 飞行 目标 与 降落 航天 器 冲突 
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这 种 情况 可 由 RSM 开发 人 员 通 过 增加 “距离 小 于 最 小 间隔 ”作为 这 一 组 合 
状态 的 部 分 判断 准则 来 进行 修正 。 

值得 注意 的 是 ， 在 所 有 状态 (迁移 前 和 迁移 后 ) 中 都 包含 谓词 wack, AY 
和 人 侵 定 义 为 至 少 一 个 航天 器 起 飞 和 降落 。 然 而 ， 该 附加 约束 条 件 可 能 会 屏蔽 茶 些 
其 他 不 必要 行为 。 因 此 ， 接 下 来 探讨 一 个 更 一 般 的 性 能 。 
5.3.3.3 更 强 的 安全 性 能 

是 否 在 之 前 未 设置 报警 情况 下 可 达到 一 个 最 小 间隔 丢失 的 跟踪 状态 ? 


图 例 : 
e 自身 位 置 
O 目标 位 置 
已 最 小 间隔 





图 5.9 场景 3 (在 地 面 上 ) : 滑行 目标 干扰 航天 器 起 飞 
e E[ (^ alarm) U( detect A track A ^ Sep A ^ alarm) | 


模型 校 验 器 得 到 几 种 满足 上 述 查 询 的 场景 。 如 图 5.9 所 示 ， 航 天 器 可 进入 监 
控 的 滑行 区 域 (与 跑道 未 对 齐 ) 且 彼 此 已 经 非常 接近 。 值 得 注意 的 是 ， 算 法 明 
确 忽略 这 种 状态 组 合 ， 因 为 不 符合 人 侵 定义 。 然 而 ， 一 旦 在 跑道 上 ， 航 天 器 即 可 
改变 方向 并 对 准 跑道 。 此 后 ， 可 归 类 为 起 飞 阶段 (MRES F, MAE). H 
余 航 天 器 与 之 保持 最 小 间隔 ， 但 未 接近 : 可 以 位 于 航天 器 自身 之 后 ， 或 更 危险 地 
在 其 之 前 。 由 于 同样 不 满足 准则 “距离 接近 ”， 因 此 不 会 报警 。 如 果 在 入 口 处 两 
个 航天 器 之 间 的 距离 非常 小 ， 就 可 能 没有 足够 时 间 执 行 避 让 操作 ， 即 使 随后 因 过 
于 接近 而 触发 报警 。 

图 5. 9 给 出 了 一 个 关于 最 后 安全 性 能 的 反例 。 存 在 一 个 不 跟踪 空中 状态 的 完 
全 相同 的 场景 (飞行 姿态 ) 。 

为 确定 是 否 真 正 关注 这 种 情况 ， 必 须 在 达到 可 能 最 坏 的 状态 之 后 观察 可 能 延 
续 的 场景 。 在 下 一 状态 ， 如 果 距 离 不 断 接近 ， 则 会 发 出 警告 ,同时 不 再 存在 
“ 漏 报警 ”的 情况 。 一 个 恶意 智能 体 使 得 该 问题 继续 维持 的 一 种 方式 如 图 5. 10 
所 示 。 如 果 目 标 “之 字形 运动 ” 且 每 次 雷达 更 新 时 与 航天 器 自身 之 间 都 具有 相 
同 的 离散 化 距离 ， 那 么 目标 就 可 在 较 长 时 间 内 保持 在 最 小 间隔 半径 中 。 目 标 必 须 
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之 字形 运动 来 保持 这 一 距离 ， 这 是 因为 若 与 航天 器 本 身 沿 平行 轨道 运动 将 会 导致 
RSM 认为 目标 处 于 起 飞 状态 。 对 于 新 组 合 的 操作 状态 ， 报 警 标 准 是 “在 同一 方 
向 起 飞 且 距离 小 于 最 小 间隔 " 。 因 此 ， 只 要 目标 停止 之 字形 运动 ， 就 会 马上 
报警 。 





@ 自身 位 置 
@ 目标 位 置 
已 》 最 小 间隔 












tf3=10+3A: 
航天 器 自身 = 起 飞 | ... 
目标 = 滑行 

距离 =D 
图 5.10 场景 4 (在 地 面 上 ): 航天 器 自身 起 飞 时 目标 在 其 周围 之 字形 运动 


当 目 标 不 是 航天 器 而 是 如 服务 卡车 等 车 辆 时 ， 会 对 目标 的 恶意 行为 增加 自由 
度 〈 见 图 5. 11 中 的 场景 5) 。 最 初 ， 通 常 认为 地 面 车 辆 是 在 按照 协议 处 于 滑行 模 
式 ， 而 无 需 考虑 其 速度 、 航 向 和 物理 坐标 。 因 此 ， 正 如 在 场景 4 中， 目标 能 够 
近 距 离 跟随 航天 器 本 身 ， 甚 至 在 航天 器 本 身 在 准备 起 飞 和 加 速 时 仍 能 继续 跟踪 。 


Vg (jl: 


e 自身 位 置 
Q 目标 位 置 
已 》 最 小 间隔 





图 5.11 场景 5: 地 面 车 辆 尾随 航天 器 自身 起 飞 的 阴影 
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与 场景 4 中 的 相同 原因 ， 同 样 不 会 产生 报警 标志 。RSM 开发 人 员 考 虑 到 该 问题 ， 
并 消除 了 对 地 面 车 辆 的 特殊 处 理 。 这 在 场景 5 中 进行 了 详细 阐述 。 

场景 4 中 的 情况 并 未 解决 。 这 是 因为 在 实际 中 很 难 实现 ， 即 使 是 一 个 非常 熟 
练 的 破坏 者 故意 这 么 去 做 ， 因 此 这 种 情况 极 少 关注 。 与 此 同时 ， 也 存在 着 一 些 有 
益 的 地 方 : 设计 师 意 识 到 这 是 小 概率 事件 。 另 外 ， 这 是 系统 中 唯一 剩 下 的 不 必要 
行为 ， 可 用 于 验证 RSM 算法 的 阶段 3。 


5.4 探讨 


5.4.1 经 验 教 训 


尽管 具有 不 可 避免 的 缺点 ， 但 RSM 的 检验 具有 不 可 否认 的 价值 。RSM 算法 
的 设计 人 员 已 列 出 一 系列 在 测试 过 程 中 并 未 展现 的 收获 ， 其 中 涉及 航天 器 和 地 面 
车 辆 ， 目 前 已 在 达拉斯 / 沃 斯 堡 国 际 机 场 进 行 测试 。 

不 管 成 本 多 大 ， 测 试 仍 需 必 不 可 少 的 认证 ， 因 为 这 是 对 产品 本 身 ， 而 不 是 抽 
象 模 型 。 然 而 ， 在 某 些 情况 下 ， 测 试 成 本 可 能 会 相当 大 。 两 个 测试 阶段 (在 形 
式 化 分 析 团 队 参 与 之 前 ) 都 需要 多 方 合 作 (机 场 官员 、 空 中 交通 管理 者 、 航 空 
公司 ) ， 以 确保 资源 : 两 个 机 场 跑道 所 预 留 的 完整 一 天 、 飞 行 志愿 者 、 测 试 评价 
工程 师 。 此 外 ， 还 需要 一 辆 定制 的 厢 式 货车 来 模拟 一 架 在 地 面 上 的 飞机 “” 。 鉴 
于 这 些 事实 ， 可 认为 在 更 多 产品 中 尽 可 能 在 较 早 的 设计 过 程 中 包含 形式 化 验证 
任务 。 

基于 模型 技术 的 优点 是 ， 除 了 成 本 很 少 以 外 ， 还 更 加 全 面 。 能 够 分 析 在 模型 
中 所 有 可 能 出 现 的 情况 ， 并 发 现 以 极 小 概率 或 在 非常 特殊 条 件 下 发 生 的 洪 在 情 
况 。 这 些 几 乎 不 可 能 在 通常 不 超过 12 次 测试 飞行 /天 或 模拟 环节 的 测试 程序 中 出 
现 。 与 实际 的 状态 空间 尺寸 相 比 〈 状 态 个 数量 级 为 10”~ 10”， 这 取决 于 参数 的 
选择 ) ， 这 表明 了 详尽 分 析 的 必要 性 。 形 式 化 分 析 的 另 一 结果 是 确定 抽象 模型 中 
存在 的 问题 ， 并 提出 消除 这 些 问 题 的 协议 修改 意见 ， 从 而 显著 提高 设计 正确 性 的 
可 信和 度 。 

成 功 是 由 多 种 因素 促成 的 : 具有 明确 的 规范 以 及 设计 工程 师 和 形式 化 团队 之 
间 的 良好 沟通 途径 。 男 一 方面 ， 应 用 程序 本 身 也 有 “正确 ”的 大 小 (适用 于 整 
个 状态 空间 结构 ) 和 “正确 ”混合 连续 状态 分 量 和 离散 状态 分 量 。 


5.4.2 投入 程度 


RSM 的 校 验 是 一 个 持续 12 个 月 的 中 等 规模 项 目 。3 人 小 组 共 完 成 总 计 为 9 
人 一 月 工作 量 的 不 同 阶段 的 分 析 工 作 。 其 中 ,大约 6 人 一 月 的 工作 量 主 要 用 于 决 
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策 建 模 ， 在 此 期 间 ， 设 计 工程 人 员 计 划 组 织 3 次 例会 。 最 后 的 3 人 一 月 工作 量 用 
于 验证 本 身 ， 即 制定 查询 、 分 析 和 综合 答案 。RSM 的 理解 在 很 大 程度 上 得 益 于 
设计 人 员 尽 量 保持 规范 和 实现 更 加 明确 。 总 体 而 言 ， 当 人 工 努 力主 要 体现 在 各 个 
阶段 的 分 析 时 ， 这 主要 是 由 于 缺乏 自动 化 建 模 过 程 以 及 建 模 人 员 对 问题 领域 的 陌 
生 ， 而 模型 校 验 有 效 工具 的 影响 对 于 本 研究 的 完成 至 关 重 要 。 


5.4.3 故障 容错 


在 上 述 RSM 分 析 中 没有 涉及 故障 容错 。 尽 管 RSM 操作 正确 性 的 验证 都 是 假设 
在 无 故障 条 件 下 的 ， 但 数据 链 路 故障 的 存在 可 能 会 显著 影响 算法 的 正确 运行 。 这 种 
类 型 的 分 析 需 要 包括 模型 概率 方面 。 对 本 研究 的 扩展 自然 而 然 地 包括 了 良性 性 质 
(错过 或 延迟 更 新 ) 或 恶意 /Byzantine (参与 方 之 间 数 据 不 一 致 ) 的 故障 行为 。 


5.4.4 面临 挑战 


除了 模型 校 验 实际 应 用 中 存在 的 习惯 性 挑战 (减少 巨大 的 状态 空间 ， 抽 象 
合理 性 的 争论 ) ，RSM 的 经 验 还 表现 出 一 些 新 现象 。 首 先 ， 一 个 优秀 的 离散 化 方 
法 和 强大 工具 在 处 理 这 类 复杂 应 用 程序 时 是 非常 经 典 的。 一 些 嵌 和 人 式 应 用 程序 可 
立刻 推荐 离散 化 规则 。 在 这 种 情况 下 ， 算 法 每 隔 固定 时 间 采 集 航 天 器 位 置 ， 因 此 
系统 状态 实际 上 已 经 离散 化 。 消 极 的 一 面 是 实际 的 C 代码 仍 无 法 验证 。 

在 评 佑 时 态 逻 辑 公式 有 效 性 方面 ， 并 不 是 所 有 类 型 的 性 能 都 能 有 效 地 验证 。 
一 般 来 说 ， 对 于 安全 性 和 可 达 性 性 能 ， 存 在 较 好 的 策略 ， 而 对 于 生存 性 和 公平 
性 ， 则 需要 较 高 的 评估 成 本 。 

总 的 来 说 ， 可 得 出 以 下 结论 : 在 给 定 其 能 发 现 通常 在 仿真 或 测试 阶段 未 显现 
出 的 重要 错误 情况 下， 模型 校 验 是 一 种 验证 航空 电子 设备 协议 正确 性 的 可 行 选择 
方案 。 
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第 6 章 形式 化 方法 在 有 源 网 络 
通信 服务 中 的 应 用 
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编程 语言 与 科学 计算 系 ， 马 拉 加 大 学 ， 马 拉 加 ， 西 班 牙 


6.1 简介 


本 章 论述 了 形式 化 方法 在 通信 服务 开发 以 及 有 源 网 络 方法 的 最 新 范例 中 的 应 
FA?" 。 在 该 应 用 领域 ， 已 进行 了 协议 的 形式 化 和 验证 工作 。 但 同时 还 发 现 具 
有 更 功能 强大 的 方法 可 用 于 此 目的 。 特 别 是 , 介绍 采用 一 种 更 著名 的 工具 
(SPIN) 并 解释 其 具有 的 优势 。 本 章 的 主要 目的 是 提供 一 个 在 该 应 用 领域 中 形 
式 化 方法 的 应 用 综述 。 另 一 个 的 目的 是 将 本 团队 所 提出 的 方法 与 之 前 的 方法 进 
行 比 较 。 

首先 从 描述 解决 有 源 网 络 和 形式 化 方法 的 建议 方法 开始 : Maude ^7", Ac- 
tiveSPEC'*! | Unity ^ 和 Verisim f£" 。 然 后 ， 利 用 SPIN AH ERS BEL! 来 描 
述 最 近 的 研究 工作 。 

为 公平 起 见 ， 重 点 从 3 个 主要 方面 来 描述 每 种 方法 的 优 缺 点 : 有 源 网 络 的 形 
式 化 建 弄 、 人 性 能 规范 及 其 分 析 能 力 。 由 于 SPIN 方法 较为 新 颖 ， 因 此 将 用 更 多 的 
篇 幅 来 进行 描述 。 

本 章 结构 安排 如 下 : 6.2 节 和 6.3 节 将 针对 所 讨论 的 问题 领域 进行 简要 概 
ik; 6.4 节 给 出 一 些 相 关 文 献 中 的 经 验 ; 6. 5 节 侧 重 于 SPIN 显 式 模型 校 验 器 在 示 
例 建 模 和 验证 有 源 网 络 服务 中 的 应 用 ; 最 后 ， 给 出 一 些 结论 。 


6.2 有 源 网 络 


目前 通信 网 络 的 用 户 日 益 要 求 更 新 、 更 强 的 服务 。 如 视频 会 议 服务 、 实 时 处 
理 、 成 组 通信 、 移 动 或 点 对 点 服务 等 。 在 20 世纪 90 年 代 开 发 有 源 网 络 的 主要 动 
机 就 是 由 于 缺乏 计算 机 网 络 与 互联 网 相 结合 产生 新 协议 和 服务 的 灵活 性 。 这 种 灵 
活性 的 缺乏 至 少 有 两 个 起 因 : 一 方面 ， 标 准 化 组 织 ， 如 ITU-T, IEEE 或 IETF 均 
需要 一 个 漫长 的 过 程 来 得 到 新 协议 的 批准 并 在 大 多 数 网 络 节点 和 终端 得 到 实现 ; 
男 一 方面 ， 集 成 的 新 服务 可 能 需要 重新 启动 网 络 中 的 许多 关键 节点 ， 并 严重 影响 
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数 以 百 万 计 的 用 户 。 

有 源 网 络 的 基本 思想 是 开放 某 些 节点 的 特定 应 用 程序 编程 接口 ( API)， 以 
人 允许 快速 实现 新 的 实验 服务 。 自 20 世纪 90 年 代 初 以 来 ， 一 些 研究 团队 就 致力 于 
定义 节点 架构 、 运 行 平台 以 及 用 于 开发 人 员 的 描述 语言 。 在 这 种 背景 下 ， 值 得 关 
注 的 是 IEEE 所 倡议 的 用 于 可 编程 网 络 接口 的 标准 IEEE P1520， 以 及 由 国际 信息 
处 理 联 合 会 (IFIP) 的 第 6 技术 委员 会 (TC6- 通 信 系 统 ) 所 组 织 的 有 源 网 络 
(IWAN) 方面 的 一 系列 国际 会 议 。 

这 种 范例 的 引入 在 一 些 方面 产生 了 可 重用 技术 ， 如 智能 体 、 移 动 代码 、 中 间 
件 、 操 作 系 统 、 可 重 构 硬 件 、 路 由 器 的 数据 包 调度 、 路 由 协议 、 网 络 管理 或 安全 
代码 注入 与 执行 等 。 在 实际 应 用 方面 ， 有 源 网 络 在 诸如 电子 邮件 、 视 频 分 
pia 675 和 覆盖 网 络 与 虚拟 网 络 77 等 应 用 领域 具有 相当 大 的 影响 。 

虽然 实现 一 个 开放 互联 网 的 最 初 兴趣 现 已 逐渐 减少 ， 但 所 有 这 些 技术 都 已 在 
网 络 虚拟 化 ， 如 Ad hoc 网 络 、 自 主 网 络 、 传 感 器 网 络 、 内 容 感 知 网 络 等 领域 中 
得 到 新 的 发 展 机 遇 。 

有 关 这 些 技术 及 其 应 用 以 及 未 来 重用 的 完整 描述 请 参见 文献 [20, 21]. 


6.3 CAPSULE 法 


一 个 有 源 网 络 允 许 引 入 新 的 服务 ， 与 通常 遵循 的 较 慢 的 标准 化 过 程 相 比 ， 该 
方法 可 更 快 地 部 署 。 引 入 新 服务 的 一 种 方式 是 允许 路 由 器 和 /或 开关 (节点 ) 来 
执行 可 修改 数据 包 内 容 、 创 建新 数据 包 或 甚至 存储 和 读 取 节点 信息 的 自 定义 
计算 。 

在 文献 [2, 27, 30, 31] 中 提出 了 主动 节点 的 几 种 规划 模型 以 及 封装 形 
式 和 处 理 的 一 些 其 他 建议 。 所 有 现 有 平台 的 通信 取决 于 两 个 标准 。 第 一 个 是 考 
虑 不 同 执行 环境 (EE) 的 有 源 网 络 架 构 ， 以 允许 不 同类 型 的 节点 “1。 在 该 方 
法 中 ,一 个 有 源 网 络 节点 的 功能 可 分 为 执行 环境 和 节点 操作 系统 ( NodeOS) 
两 方面 ， 分 别 负责 提供 网 络 抽象 和 管理 网 络 资源 的 访问 。 如 图 6.1 所 示 ， 该 架 
构 可 允许 在 一 个 主动 节点 中 存在 多 种 执行 环境 ， 其 中 ， 由 外 界 环境 提供 的 表现 
力 可 能 是 一 个 完整 的 图 灵机 。Node0S 负责 实现 可 访问 节点 资源 的 一 组 抽象 行 
为 。 资 源 的 访问 应 由 安全 执行 引擎 提供 保护 ， 即 在 执行 关键 任务 之 前 请 求 代码 
认证 。 操 作 系统 还 可 访问 通信 通道 来 发 送 和 接收 数据 包 ， 并 受到 数据 存储 功能 
的 限制 。 

在 这 种 新 范例 中 ， 另 一 个 重要 标准 是 为 非 主动 因特网 上 的 主动 包 定义 一 个 传 
输 协议 (ANEP)'"。 该 协议 用 于 支持 全 球 范围 的 有 源 骨 干 网 络 。 有 源 网 络 传输 
系统 (ANTS) 的 程序 设计 模型 构成 一 种 最 常用 的 有 源 架 构 ， 其 中 包括 一 个 通过 
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移动 代码 技术 在 中 间 节 点 和 终端 系统 中 自动 部 署 协议 的 Java 工具 包 。 可 根据 其 
特殊 代码 (有 效 负载 ) 来 处 理 称 为 封装 体 (capsules) 的 数据 包 。 该 代码 可 在 市 
点 采用 称 为 4 种 基 元 的 操作 : 封装 处 理 (访问 头 和 有 效 负载 ) 、 控 制 操 作 (允许 封 
装 体 创建 新 的 封装 体 ， 复制 和 丢弃 自身 )、 环 境 访 问 ( 读 取 节 点 状态 信息 ， 如 路 
由 表 ) 和 芳 点 存储 (根据 应 用 程序 定义 的 目标 来 处 理 现 有 的 存储 ) 。 每 个 封装 体 
都 是 通过 其 类 型 和 有 效 负 载 来 识别 ( 见 图 6.2) 。 假 设 一 种 有 源 网 络 协议 是 由 大 
量 不 同类 型 的 封装 体 示 例 来 实现 的 。 





安全 执 ! 
行 引擎 ， 








图 6.2 ANTS 以 前 使 用 的 封装 格式 


在 发 送 端 设置 处 理 封装 体 的 代码 ， 而 不 能 在 网 络 内 部 改变 。 封 装 体 处 理 过 程 
的 能 力 有 限 ， 因 为 这 是 由 不 信任 用 户 定义 的 。 该 封装 体 是 由 非 主 动 节点 通过 路 由 
信息 转发 的 ,但 只 在 特定 节点 上 执行 代码 。 因 此 ， 在 接收 到 封装 体 之 后 ， 主 动 节 
点 才 执 行 相关 程序 。 封 装 在 内 部 的 代码 用 于 决定 是 否 继续 转发 给 其 目的 节点 ， 通 
常 在 处 理 代码 的 结尾 处 包含 决策 。 这 种 代码 传输 的 机 制 取 决 于 具体 实现 。 针 对 
ANTS， 所 提出 的 建议 是 根据 要 求 来 加 载 代码 并 通过 缓存 来 提高 性 能 。 默 认 情 况 
下 ， 节 点 中 的 软 存储 只 对 具有 相同 协议 的 封装 体 共享 。 
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6.4 有 源 网 络 的 之 前 分 析 方 法 


本 节 重 点 综述 了 文献 中 有 关 采 用 形式 化 方法 来 描述 和 分 析 有 源 网 络 的 现 有 方 
法 。 在 此 介绍 的 工具 和 方法 有 Maude, ActiveSPEC, Unity 和 Verisim 框架 。 下 节 
将 着 重 介绍 利用 SPIN 模型 校 验 器 来 进行 有 源 网 络 的 模型 校 验 。 


6.4.1 Maude 


Maude 是 一 种 在 大 量 应 用 程序 中 支持 重 写 逻 辑 规范 '* 和 程序 设计 的 反思 型 
语言 。 支 持 逻 辑 反思 可 使 得 Maude 显著 扩展 。 这 支持 模块 组 成 操作 的 可 扩展 代 
数 运算 ， 以 允许 采用 先进 的 元 编程 和 元 语言 。 在 许多 应 用 程序 中 ，Maude 用 于 创 
建 不 同 逻 辑 、 定 理 证 明 器 、 编 程 语言 和 计算 模型 的 可 执行 环境 。 关 于 有 源 网 络 的 
规范 ，Maude 已 用 于 在 Switchware 项 目 背 景 下 开发 的 规划 语言 ”操作 语义 下 进 
行 可 靠 性 广播 协议 (rbp) P WE, YE Maude 内 ， 必 须 从 头 开始 建立 有 源 网 络 
体系 结构 的 规范 。 也 就 是 说 ， 必 须 使 得 节点 、 网 络 (节点 实例 及 其 关系 ) 、 执 行 
环境 和 并 发 模型 形式 化 ， 以 及 变量 、 表 达 式 、 语 句 、 节 点 资源 操作 或 路 由 策略 的 
执行 语言 语义 形式 化 。 例 如 ， 在 文献 [12] 中 ， 必 须 构建 一 个 消息 传送 的 完整 
形式 化 基 元 ， 以 作为 网 络 通信 的 主要 抽象 。 

图 6.3 给 出 了 一 种 用 于 创建 描述 广播 发 送 重 写 规则 的 建 模 方法 。 箭 头 左 侧 表 
示 之 前 的 情况 ， 而 右 侧 为 更 新 的 规则 。 

现在 第 2 版 本 的 Maude 集成 了 一 个 允许 规范 化 命题 时 态 逻 辑 公式 的 模型 校 
wees) 。 这 用 于 在 文献 [28] 所 提 低 版 本 的 主动 网 络 配 置 中 查找 错误 。 遗 憾 的 
是 ， 并 没有 详细 阐述 有 关 在 采用 模型 校 验 器 分 析 之 前 ， 如 何 对 原始 Maude 模型 
的 低 版 本 进行 研究 的 细节 。 文 献 [13] 的 深入 研究 表明 该 模块 需要 在 更 加 实际 
的 环境 中 进行 进一步 测试 。 

crl [Send] : 

<A: Node | nbs : OIDSET, 
states : states(state(A,passive),IDSTATUSPFUN), 
parents : IDIDPFUN, 


seqNos : seqNos(seqNo(A,N) , IDINTPFUN) , 
nbsStates : IDIDSTATUSPFUN » 


v 


< A : Node | states : assignIdStatusPFun(IDSTATUSPFUN, A, active), 
parents : assignIdIdPFun(IDIDPFUN, A, A), 
seqNos : assignIdIntPFun(IDINTPFUN, A, N + 1), 
nbsStates : assignAllIdIdStatusPFun( 
IDIDSTATUSPFUN, A, OIDSET, active) > 
(multimsg N + 1 To OIDSET From A Src A) 
if OIDSET =/= mtnbs . 


图 6.3 Maude 中 有 关 模 型 广播 ad hoc 的 重 写 规则 ( 源 自 文献 【12] ) 
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6.4.2 ActiveSPEC 


ActiveSPECI5 通 过 利用 PVS!” 定理 证 明 器 的 先进 功能 来 构成 形式 化 规范 主 
动 服务 和 资源 的 框架 。 所 提 的 该 方法 中 包括 定义 数据 包 ( 见 图 6.4)、 和 节点、 一 
组 预定 义 服 务 、 安 全 政策 和 资源 。 开 发 人 员 可 利用 定理 证 明 器 来 验证 在 满足 某 些 
认证 需要 的 执行 环境 中 所 处 理 的 数据 包 。 安 全 策略 包括 在 执行 数据 包 之 前 和 之 后 
所 分 别 满足 的 前 置 条 件 和 后 置 条 件 的 定义 。 目 前 ， 这 些 规范 是 在 按照 框架 建议 的 
规范 下 手动 输入 的 。 图 6. 4 给 出 了 ActiveSPEC 中 表示 数据 包 在 使 用 前 存在 于 队 
列 中 的 前 置 条 件 下 的 封装 体 〈 数 据 包 ) 定义 。 
Packets [ 
Address : TYPE, ^4 Addresses 
PacketType : TYPE, % Packet type identifiers 
Payload : TYPE % Payload data type 
] : THEORY BEGIN 
PacketID : TYPE* Packet : TYPE = [it 
ptype : PacketType, 
src : Address, 
dest : Address, 
pid : PacketID, 
payload : Payload 
#] packet_exists : AXIOM (EXISTS (pkt : Packet) : TRUE) IMPORTING 
Queue [Packet] 


END Packets 


图 6.4  ActiveSPEC 中 的 封装 体 定 义 ( 源 自 文献 [23] ) 


一 个 称 为 ActiveNodeSPEC 的 类 似 方法 分 析 了 在 一 个 节点 中 资源 的 并 发 使 用 。 
所 有 这 些 框架 都 不 涉及 协议 的 安全 性 ， 这 是 因为 均 没有 执行 任何 主动 数据 包 内 容 
的 实现 机 制 。 由 于 侧重 于 不 同方 面 ， 因 此 ActiveSPEC 和 ActiveNodeSPEC 必须 相 
互 独立 的 使 用 。 

该 框架 支持 作为 PVS 定理 的 性 能 和 安全 策略 的 定义 。 因 此 ，ActiveSPEC 利 
用 通过 需要 交互 验证 的 定理 证 明 来 作为 其 分 析 技 术 。 


6.4.3 Unity 


Unity * 是 一 种 允许 进程 组 合 的 小 型 并 行 语言 。 语 句 的 执行 是 以 一 种 不 确定 
形式 根据 所 提供 的 语句 来 完成 的 ， 但 不 支持 类 型 、 控 制 流 或 隐 式 执行 顺序 。 在 文 
BK [5] 中 该 形式 化 方法 用 于 主动 网 络 协议 建 模 。 其 中 ， 设 计 了 一 个 表示 与 主动 
平台 和 植 入 代码 类 型 无 关 的 主动 节点 输出 的 可 编程 能 力 的 抽象 接口 。 该 接口 建立 
了 执行 环境 与 执行 代码 之 间 的 关系 ， 并 利用 共享 内 存 来 建立 通信 模型 ( 见 图 
，6.5)。 尽 管 与 典型 的 基于 迁移 的 语言 有 所 不 同 ， 但 认为 Unity 具有 足够 的 灵活 性 
， 以 一 种 紧凑 方式 来 表征 程序 ， 当 植 和 代码 满足 某 种 限制 时 ， 可 对 主动 节点 的 全 局 
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状态 测试 提供 一 种 基本 支持 。 
Program {Node} Program at each active node v initially 
NO v.state, discCnt, errCnt = idle, 0, 0 
assign 
Ni < < []x : v.inC[x] E v.inC : 
v.state, v.inC[x], v.Msg, v.LH := newPkt, tail(v.inC[x]), head(v.inC[x]), x > 
[I] < Il i :: v.rt.i.usage := 
> if v.idle ^ (v.inC[x] != null) 


图 6.5 Unity 中 的 节点 定义 部 分 〈 源 自 文献 [5]) 


关于 性 能 ，Unity 通过 某 些 时 态 逻 辑 运算 符 具 有 定义 进程 和 安全 时 空 特性 的 
功能 。 另 外 ， 还 允许 定义 状态 的 前 置 条 件 和 后 置 条 件 。 在 文献 [5] 中 采用 了 手 
动 方式 证 明 Unity 性 能 的 方法 ， 据 目前 所 知 ， 尚 不 具备 对 所 提 主动 行为 进行 自动 
验证 支持 。 


6.4.4 Verisim 法 


Verisim 项 目 已 开发 出 一 套 对 网 络 仿真 跟踪 进行 性 能 正确 性 分 析 的 工具 箱 “ 。 
该 方法 采用 多 协议 ns2 模拟 器 的 输出 ， 这 是 一 种 通过 OT cl 脚本 来 配置 节点 、 链 
接 、 协 议 堆栈 并 终止 程序 来 执行 网 络 仿真 的 知名 理论 工具 。 文 献 [26] 中 给 出 
了 作为 一 种 扩展 型 ns2 仿真 器 的 主动 服务 配置 的 合适 扩展 。 

Verisim 集成 了 元 事件 定义 语言 (Meta- Event Definition Language, MEDL), 
这 是 一 种 ns2 执行 跟踪 定义 模式 的 LTI 扩展 。 通 过 定义 跟踪 上 的 事件 和 条 件 需 
R, MEDL 面向 执行 所 谓 的 监测 和 校 验 〈( 见 图 6.6)。 安 全 性 从 条 件 上 必须 如 实 
描述 且 从 不 会 产生 报警 。MEDL 利用 辅助 变量 来 记录 执行 历史 。 


alarm LoopInv[at] [nxt] [dst] = sendroute[at] [dst] when 
((at!-nxt) && (at!=dst) && (nxt!=dst) && 
(obs_nexthop[at] [dst] == nxt) && 
((Cobs_seqno[at] [dst] > obs_seqno[nxt] [dst]) || 
(obs_seqno[at] [dst] == obs_seqno[nxt] [dst]) && 
(obs_seqno[at] [dst] <= obs_seqno[at] [dst]))) 


图 6.6 MEDL 中 描述 性 能 的 示例 (参见 文献 [4] ) 
Verisim 技术 可 认为 是 一 种 自动 的 运行 时 分 析 技 术 。 因 此 ， 不 必 在 模型 中 进 
行 详细 分 析 。 
6.5 SPIN 有 源 网 络 模型 校 验 


在 过 去 的 几 年 中 ，SPIN 已 成 为 一 个 在 学 术 和 工业 领域 中 广泛 采用 的 模型 校 
JERR o". SPIN 支持 验证 以 建 模 语言 PROMELA 编写 的 系统 中 的 常见 安全 性 能 
(如 无 死 锁 ) 以 及 以 线性 时 态 逻 辑 表示 的 复杂 性 需求 分 析 。 另 外 ， 也 用 作 解 决 状 
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态 爆炸 问题 的 功能 强大 的 新 算法 的 测试 平台 。 

PROMELA 是 一 种 用 于 描述 由 并 发 异步 通信 进程 组 成 的 系统 的 语言 。 一 个 
PROMELA 模型 包含 一 组 进程 M = Proc, || … || Proc, 、 全 局 通道 和 局 部 通道 、 全 局 
变量 和 局 部 变量 的 有 限 集合 。 通 过 通信 通道 ， 进 程 之 间 利 用 消息 传递 进行 通信 。 
通信 可 以 是 通过 将 通道 作为 有 界 缓冲 区 进行 异步 通信 ， 也 可 以 是 通过 零 太 寸 大 小 
的 通道 进行 同步 通信 。 全 局 通道 和 全 局 变量 决定 了 进程 运行 的 环境 ， 而 局 部 通道 
和 局 部 变量 则 建立 了 各 进程 中 的 内 部 局 部 状态 。PROMELA 处 理 可 定义 为 一 系列 
在 声明 部 分 之 前 的 可 能 标记 的 语句 。 同 时 ， 还 提供 了 用 于 表示 不 确定 性 执行 的 
机 制 。 

SPIN 模型 校 验 器 可 验证 PROMELA 模型 的 线性 时 态 逻 辑 (LTL) 公式 。 符 合 
语法 规则 的 公式 是 根据 一 组 原子 命题 (在 PROMELA 中 ,命题 是 数据 、 通 道 或 标 
签 上 的 测试 ) 、 标 准 的 布尔 运算 符 以 及 时 态 算 子 (MEDO, RAO” MAE 
“U”) 归纳 并 构建 的 。 可 通过 模型 状态 序列 (跟踪 轨迹 ) t=; 一 s;,1 一 … 对 公式 
进行 解释 。 每 个 序列 表示 一 个 从 状态 s; 开始 的 可 能 的 模型 执行 。 采 用 时 态 算 子 
可 允许 构建 取决 于 配置 跟踪 轨迹 中 当前 状态 和 未 来 状态 的 公式 。 

默认 情况 下 ， 给 定 一 个 LTL 公式 ，SPIN 可 将 其 转换 成 一 个 表示 不 可 取 行 为 
(认为 不 可 能 ) 的 Biichi 自动 机 。 然 后 ， 对 全 面 搜索 满足 自动 机 执行 的 状况 空间 
进行 验证 。 如 果 存 在 某 种 执行 ， 那 么 该 工具 就 将 其 记录 为 性 能 反例 。 如 果 搜 索 整 
个 模型 而 没有 发 现 一 个 反例 ， 则 认为 该 模型 满足 LTL 性 能 的 通用 属性 。 同 样 的 
验证 方案 还 可 以 用 来 检查 是 否 一 个 公式 不 能 满足 所 有 路 径 (存在 性 反驳 ) 。 在 图 
形 用 户 接 口中 显示 的 两 种 LTL 使 用 方式 称 为 XSPIN。 

尽管 已 有 许多 可 以 进行 详尽 标准 验证 的 示例 ，SPIN 还 实现 了 处 理 复杂 系统 
的 优化 技术 。 部 分 隆 阶 利用 只 表示 整个 集合 的 事件 序列 来 代替 几 个 交叉 序列 的 事 
件 (语句 ) 。 状 态 压 缩 可 通过 不 丢失 信息 的 压缩 状态 表示 来 减少 内 存 占用 。 位 状 
态 散 列 以 哈 希 表 形 式 来 表示 状态 ， 因 此 在 许多 情况 下 ， 都 只 是 部 分 分 析 。 


6.5.1 PROMELA 中 的 有 源 网 络 模型 


在 此 ， 考 虑 一 个 如 何在 PROMELA 中 构建 类 似 ANTS 的 主动 协议 模型 的 示 
例 ， 需 要 注意 的 是 ， 验 证 模型 应 尽 可 能 小 以 确保 其 能 表示 性 能 分 析 所 需 的 具体 细 
节 。 在 本 例 中 抽象 的 基本 元 素 是 中 网 络 链接 和 拓扑 ; @@ 主 动 Node0S 和 @) 在 主动 
节点 内 执行 的 主动 应 用 程序 ， 以 及 端 到 端 应 用 程序 。 这 些 元 素 如 图 6. 7 所 示 。 因 
此 ， 生 成 模型 将 会 有 一 部 分 表示 主动 节点 (操作 系统 工具 + 执行 环境 ) ， 另 一 部 
分 表示 新 的 主动 应 用 程序 和 拓扑 结构 。 对 于 每 个 主动 配置 ， 前 者 非常 普遍 ， 而 后 
者 将 会 根据 所 要 求 的 主动 服务 而 改变 。 
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图 6.7 ”一 个 主动 网 络 的 PROMELA 模型 概述 


6.5.1.1 封装 体 建 模 

在 主动 式 ANTS 的 专业 术语 中 ， 一 个 封装 体 是 一 个 在 PROMELA 中 建 模 为 新 
数据 类 型 的 主动 数据 包 ， 如 图 6.8 所 示 。 关 于 图 6.2 中 所 示 的 数据 包 字 段 ， 
PROMELA 中 只 包含 4 个 强制 字段 : 源 地 址 和 目的 地 址 ， 执 行 封 装 体 的 上 一 节 
点 ， 当 到 达 一 个 新 节点 时 将 要 执行 的 相关 参考 代码 。 如 果 在 开发 新 的 主动 协议 时 
需要 ， 则 基本 的 封装 体 类 型 可 扩展 到 特定 字段 。 


typedef Capsule{ 
address src; /*source address of the IP datagram*/ 
address dst; /*destination address of the IP datagram*/ 
address prev; /*previous active node. Reserved to Active Nodes*/ 
codeRef ref; /*type of capsule (it makes reference to an active application code) */ 
/*Specific data fields must be inserted from here*/ 


图 6.8 一 个 类 似 ANTS 封装 体 的 PROMELA 定义 


6.5.1.2 共同 部 分 : 节点 、 通 信和 环境 

在 PROMELA 中 ， 通 信 可 利用 异步 通信 通道 并 根据 系统 初始 化 时 设计 人 员 提 
供 的 拓扑 信息 通过 在 网 络 中 执行 数据 包 交 换 来 建 模 。 通 过 该 过 程 ， 主 动 路 由 器 并 
不 关心 具体 的 路 由 处 理工 作 ， 而 会 减少 验证 阶段 存储 状态 的 交叉 和 规模 。 图 6.9 
中 所 示 的 AbstractNetworkSerive 是 根据 ANTS 工具 包 的 无 连通 特性 对 于 不 可 靠 通信 
的 一 个 基本 传输 工具 '” 。 当 接收 到 一 个 新 的 封装 体 时 ， 检 查 其 目的 字段 。 如 果 
目标 网 络 与 发 送 属于 主机 /节点 的 封装 体 为 同一 网 络 ， 则 网 络 服务 可 直接 传输 封 
装 体 。 但 是 ， 如 果 目 标 网 络 为 模型 中 的 另 一 个 网 络 ， 则 网 络 服务 必须 检测 是 从 路 
由 器 还 是 从 主机 接收 到 封装 体 。 如 果 封 装 体 是 来 自 路 由 器 ， 则 必须 查询 其 路 由 信 
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息 以 选中 执行 下 一 个 hop 的 路 由 器 。 如 果 封 装 体 来 自主 机 ， 则 网 络 服务 将 其 转发 
给 本 地 网 络 路 由 器 。 


active proctype AbstractNetworkService(){ 


Capsule capsule; 
address from; 
endService: 
do 
:: atomic{ to_network ? from,capsule-> 
if 
/*packet destined to the same network*/ 
:: (getNetworkFromAddress (from) )==(getNetworkFromAddress (capsule.dst))-> 
if 
::(getHostFromAddress(capsule.dst)--0)-» /*router*/ 
from network[getNetworkFromAddress (capsule.dst)]!capsule; 
: :else-> /*host*/ 
from_network [getHostFromAddress(capsule.dst)] !capsule; 
fi 
/*packet destined to another network from a Host*/ 
: : ((getNetworkFromAddress (from) ) !=(getNetworkFromAddress(capsule.dst))) 
&& (getHostFromAddress(from)!-0) -> 
from network[getNetworkFromAddress (from) ] ! capsule; 


/*packet destined to another network from a Router*/ 
: : ((getNetworkFromAddress (from) ) !=(getNetworkFromAddress(capsule.dst))) 


kk (getHostFromAddress (from)==0)-> 
from_network [NODE [getNetworkFromAddress (from)] .route] ! capsule; 

#if WITH_LOSSES 

:iskip 
#endif 

fi; 

} 
od 

* 


图 6.9 PROMELA 中 的 不 可 靠 网 络 通信 服务 


主动 路 由 器 可 作为 进程 进行 建 模 ， 以 允许 执行 主动 应 用 程序 。 对 这 些 
PROMELA 中 的 实体 进行 抽象 构成 了 一 个 包含 NodeOS 和 执行 环境 的 混合 体 。 一 
个 重要 的 设计 要 求 是 假定 在 系统 启动 时 已 在 主动 节点 中 加 载 了 主动 应 用 程序 ， 因 
为 代码 到 达 节 点 的 方式 是 独立 于 所 要 分 析 的 主动 服务 的 。 例 如 ， 图 6. 10 所 示 的 
执行 环境 中 包括 从 主动 网 络 接收 封装 体 数 据 包 并 执行 与 参考 代码 相关 的 对 应 主动 
应 用 程序 所 需 的 代码 。 由 图 中 可 知 ，from_network_to_i 的 接收 通道 已 定义 为 内 
BE, TE SPIN 中 的 一 种 优化 方法 是 使 得 验证 中 的 状态 爆炸 影响 最 小 。 当 接收 到 一 
个 封装 体 时 ， 检 查 其 引用 类 型 字段 并 且 在 执行 环境 中 选择 处 理 封装 体 的 适当 程 
序 。 如 图 6.10 所 示 的 示例 中 ， 存 在 3 种 类 型 的 封装 体 。 

为 处 理 封装 体 ， 现 有 几 种 函数 来 获得 其 基本 头 字 段 (getSre, getDst, gel- 
Prev) 。setDst 和 newCapsule 函数 分 别 改 变 封装 体 的 目的 地 址 和 创建 一 个 新 的 转 
发 地 址 。 其 他 函数 包括 显 式 转 发 和 路 由 以 及 负责 处 理 节点 中 软 存储 数据 缓存 的 操 
作 基 元 (cacheGet, cachePut, cacheRemove), ， 正 如 在 ANTS 文献 中 所 采用 的 Bo 。 
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proctype EE(address _this_address){ 


chan from network to i = from network[getNetworkFromAddress( this address)]; 
xr from network to i; 
Capsule capsule; 
endEE: 
do 
:: atomic{ from network to i?capsule -> 
if /*time to process capsules*/ 
/*Code for processing active applications will be inserted here*/ 
::(capsule.ref==DATA)-> capsuleDATA() ; 
::(capsule.ref==NACK)-> capsuleNACK() ; 
::(capsule.ref==ACK)-> capsuleACK() ; 
: :else-> /*references that were not previously registered*/ 
if 
::(capsule.dst == _this_address)-> /*silently discarded*/ 
::e1se-? to network! this address,capsule; 
fi 
fi; 


图 6. 10 一 个 执行 环境 的 示例 


6.5.1.3 创建 网 络 拓扑 结构 
当 部 署 一 个 新 的 网 络 服务 时 ， 主 动 网 络 设计 人 员 应 处 理 网 络 拓扑 结构 。 为 进 
行 验证 而 抽象 一 个 真正 的 拓扑 结构 ，PROMELA 拓扑 结构 由 各 个 网 络 组 成 ， 其 中 
每 个 网 络 都 由 自然 数 标 记 。 基 本 的 连接 机 制 是 网 络 之 间 的 点 对 点 连接 ， 每 个 连接 
中 都 包含 一 个 主动 节点 。 因 此 ， 这 些 主动 节点 的 标识 符 (全 局 地 址 ) 与 那些 分 
配 到 相应 网 络 中 的 一 样 ， 从 而 避免 了 需要 一 些 其 他 的 复杂 路 由 机 制 。 主 动 主机 执 
行 隶属 于 网 络 的 端 到 端 应 用 程序 。 其 全 局 地 址 由 两 个 不 同 部 分 组 成 : 所 属 网 络 和 
一 个 有 效 的 主机 标识 符 。 主 机 标识 符 是 从 在 定义 网 络 时 之 前 未 用 的 下 一 个 有 效 值 
开始 的 自然 数 集中 选择 的 。hostAddress (idNet, idHost) 函数 可 从 有 效 网 络 和 主 
机 标识 符 中 自动 获取 所 得 的 全 局 地 址 。 图 6. 11 给 出 了 一 个 由 两 个 网 络 组 成 旦 每 
个 网 络 都 具有 相应 的 主动 节点 (标记 为 0 和 1) 的 主动 网 络 拓扑 结构 。 
/* Network topology for verification: /--receiver(3) 
sender(2)---n(0)---n(1)- 
\--receiver (4) 
*/ 
init{ 
atomic{ 
NODE[0].route = 1; 
NODE[1].route = 0; 
address addrRcv = hostAddress(1,3); 


start, router(0); /*n0*/ 
start router(1); /*ni*/ 


图 6.11 PROMELA 中 创建 的 网 络 拓扑 结构 
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当 启动 系统 时 ， 设 计 人 员 必 须 提 供 这 种 拓扑 信息 。 也 就 是 说 ， 在 模型 中 必须 
明确 声明 每 个 主动 节点 的 路 由 。 最 后 ， 利 用 start router. (idNet) 函数 来 启动 主 
动 节点 的 发 送 器 和 接收 髓 。 


6.5.2 实例 : 验证 主动 协议 


图 6.8~ 图 6.11 对 应 于 验证 主动 组 播 协议 的 示例 部 分 。 称 为 RMANP 的 
所 选 协 议 '“ 构成 主动 网 络 中 组 播 应 用 程序 的 一 个 复杂 协议 。 值 得 注意 的 是 ， 这 
是 文献 [3] 中 所 示 的 可 靠 组 播 协 议 (RMNP) 的 面向 ANTS 版 本 。RMANP 充分 
利用 了 使 得 主动 节点 参与 处 理 确认 (ACK) 和 重 传 请 求 (NACK) 消息 的 主动 网 
络 。 将 多 个 ACK 聚合 为 一 个 单一 封装 体 (MACK) 的 来 源 可 防止 内 爆 的 确认 。 
当 请 求 重新 传送 特定 数据 到 目标 应 用 程序 时 ， 主 动 节点 中 存储 的 不 确定 数据 可 保 
证 传输 通畅 。 节 点 还 可 过 滤 信息 源 的 NACK 消息 ， 只 人 允许 那些 请 求 的 新 数据 通 
过 。 对 于 服务 质量 ，RMANP 考虑 3 种 通信 量 : 可 靠 性 、 不 可 靠 性 和 具有 时 态 约 
RATE, Xk [14] 中 提出 的 PROMELA 模型 只 包括 建 模 最 复杂 的 可 靠 型 
服务 的 合适 封装 体 (DATA, ACK 和 NACK) 对 。 因 此 ， 在 这 些 封 装 体 中 的 主动 
代码 只 包括 用 于 验证 协议 中 性 能 的 行为 。 利 用 图 6. 1 所 示 的 用 于 模型 校 验 的 拓扑 
结构 ， 第 一 个 网 络 中 包括 数据 源 : 利用 滑动 窗口 协议 向 主动 节点 提供 数据 的 发 送 
方 。 第 二 个 网 络 由 一 组 建 模 组 播 接收 的 进程 构成 。 

作为 一 个 封装 体 的 代码 示例 ， 图 


typedef Capsule{ 


6.12 给 出 了 该 协议 下 的 一 个 NACK bt ress sre; 
装 体 示例 。 主 动 节点 拦截 一 个 分 析 dress provi 
byte seq; /*RMANP specific field*/ 


NACK 序列 字段 的 重 传 请 求 ， 只 要 在 
其 高 速 缓存 内 能 够 提供 可 用 的 数据 请 XU 


mtype data; /*payload*/ 


ok. 将 数据 输入 到 缓存 中 的 操作 对 应 inline capsuleNACK(){ 
T DATA 封装 体 的 执行 〈 更 多 细节 参 
见 文献 [14] ) 。 

对 于 RMANP, PROMELA 中 主动 
网 络 架构 的 具体 部 分 和 固定 部 分 是 无 
死 锁 的 。 此 外 ， 封 装 体 的 代码 是 用 于 
利用 SPIN 来 验证 某 些 LTL 公式 的 。 


short tmp; 
tmp = cacheGet (last_unack) ; 
if : 
::(tmp==capsule.seq)-> //send data from cache 
capsule.data = cacheGet (storing key(tmp)) ; 
sendCapsuleTo(getSrc(),DATA) 
::else -> sendTo(getDst()) //forward to source 
fi 
} 


图 6.12 RMANP 的 一 个 NACK 封装 体 


例如 ， 图 6. 13 中 的 LTL 性 能 表明 一 个 必须 满足 所 提 RMANP 服务 中 任 一 可 能 情 
况 的 通用 属性 。 公 式 中 的 每 个 命题 ( 以 #define 标记 ) 都 对 应 于 协议 封装 体 中 主 
动 代码 的 标记 迁移 。 
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LTL property (RestrictedScope):  [](retransmission requested -> <> data, from EEs) 
#define retransmission requested ^ receiver[1i]Oretransm req 
#define data form EEs (data from EEO || data from EE1) 


#define data from EEO  (EE[ilGretransm EE from nack || EE[i]Oretransm EE from ack) 
#define data from EE1  (EE[2]Gretransm EE from nack || EE[2]Oretransm EE from, ack) 


图 6.13 通过 RMANP 的 SPIN 版 本 进行 通用 属性 验证 


6.5.3 在 SPIN 中 更 实际 的 代码 建 模 


采用 任何 形式 化 描述 (包括 PROMELA) 的 一 个 主要 问题 是 需要 手动 抽象 将 
要 验证 的 应 用 程序 的 行为 和 结构 。 实 际 上 ， 这 种 方法 非常 容易 出 错 。 因 此 ， 通 常 
需要 一 个 指导 从 源 代码 中 的 模型 自动 抽象 (验证 ) 方法 ' 1。 在 主动 网 络 领 
域 ， 这 不 仅 涉 及 封装 体 的 Java 代码 解析 和 转换 ， 还 提供 主动 节点 API (接口 和 行 
A) IP 路 由 算法 的 抽象 表示 。 

为 便于 执行 这 些 任务 ， 最 近 的 SPIN 中 集成 一 些 扩展 功能 以 允许 在 PROME- 
LA 内 执行 嵌入 式 C 代码 。 根 据 该 模型 校 验 的 新 功能 ， 现 在 就 可 以 通过 更 实际 的 
行为 来 丰富 验证 模型 ， 从 而 提高 所 得 结果 的 信任 度 。 

图 6.14 给 出 了 之 前 PROMELA 网 络 模型 ( 见 图 6.9) 的 一 种 可 能 修改 。 在 
新 的 网 络 模型 中 ， 利 用 新 的 c_ decl 基 元 来 退 入 模型 中 新 的 C 数据 类 型 。 在 此 ， 
描述 了 对 应 于 PROMELA 中 之 前 简化 版 本 (现在 正确 重 命名 为 pml_ NodeResourc- 
es) 的 c_NodeResources 类 型 。 因 此 ， 可 处 理 更 复杂 的 抽象 数据 类 型 ， 如 路 由 表 
(具有 目的 网 络 和 输出 接口 两 列 的 二 维 阵列 ) 或 最 近 最 少 使 用 缓存 (图 中 并 未 显 
示 ， 包 含 在 一 个 外 部 .bh 文件 中 ) 。 在 本 例 中 ， 现 在 可 允许 路 由 器 具有 两 个 以 上 
的 接口 ， 从 而 允许 有 比 图 6. 11 所 描述 的 更 复杂 的 拓扑 结构 。 

C 变量 可 在 模型 中 利用 显 式 附属 于 状态 向 量 或 隐 式 从 状态 向 量 中 提取 的 c_ 
state 基 元 来 声明 。 在 图 6. 14 所 示 的 示例 中 ， 声 明 一 个 名 为 nodeRes [] 的 全 局 数 
组 。 同 时 ， 还 可 以 声明 一 个 在 PROMELA 原型 本 地 范围 内 的 C 变量 。 

以 不 可 分 方式 执行 纯 C 代码 可 在 c_expr 和 C 代码 基 元 中 实现 。 前 者 需要 一 
个 对 于 C 代码 段 的 无 不 良 影响 的 布尔 表达 式 ， 而 后 者 是 一 个 允许 对 PROMELA 或 
C 变量 操作 的 更 一 般 基 元 。 图 6. 14 表明 了 如 何在 网 络 服务 原型 中 使 用 c_ code, 
以 在 路 由 转发 算法 中 包含 更 实际 的 行为 。 值 得 注意 的 是 ， 利 用 前 绥 now 来 访问 C 
代码 段 中 的 PROMELA 变量 。 对 于 全 局 变量 和 原型 (名 为 proctype_name) 范围 
内 变量 的 Pproctype_ name- > 。 在 该 图 的 示例 中 ， 利 用 一 个 外 部 的 C 函数 (ge- 
tROUTE ()) 来 计算 转发 封装 体 的 合适 输出 通道 。 

总 之 ， 这 些 SPIN 的 扩展 功能 有 助 于 用 户 创建 PROMELA 模型 ， 使 之 更 接近 
于 试图 验证 的 最 终 代 码 。 采 用 模型 中 的 C 函数 和 算法 具有 重大 意义 ， 这 是 因为 
这 些 都 是 自动 执行 的 。 然 而 ， 通 常 还 需要 具有 管理 验证 中 的 更 多 数据 ， 这 可 能 会 
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导致 产生 状态 爆炸 问题 。 


/*Promela version of a the NodeResources type*/ 

typedef pml NodeResourcesí 

address route; /* only an output interface is allowed*/ 

short cache[STORAGE RESOURCES] «FREE ; 

/*Beware thinking in Cache as an LRU one. We have modeled it as a Hash Table instead, 
so be careful with the STURAGE RESOURCES limit and your special needs*/ 

3; 


/*C version of a the NodeResources type*/ 
c. decli 
#include "nodetypes.h" 
typedef struct{ 
short myAddress; /*node address of this node*/ 
short routeTable[MAX ROUTES] [2]; 
/*ist column: destination address, 2nd: output interface (channel id)*/ 
struct LRU cache; 
/*now this cache is an array with extra information to get the Least Recently Used index*/ 
Jc. NodeResources; 


c state "c NodeResources nodeRes[TOTAL NODES]" "Global" /* goes inside the state vector */ 


/*C version of NetworkService (not as abstract as before) */ 
active proctype NetworkService(){ 


Capsule capsule; 
address from; 
Short output channel id ; 
endService: 
do 
:: atomic( to network ? from,capsule-» 
c. code( 
PNetworkService-»output channel id = getRoute(PNetworkService->from, PNetworkService->capsule.dst) ; 
printf ("Capsule will be forwarded to: %d\n", now.nodeRes [PNetworkService->output_channel_id] .myAddress) ; 
} 
if 
::(output_channel_id != -1) -> 
if 
::from network[output channel id]!capsule; 
#if WITH LOSSES 
::Skip 
#endif 
fi 
::else /* forwarding error ...*/ 
fi; 
+ 
od 
} 


6.14 在 SPIN PRA C 代码 


6.6 小 结 


采用 PROMELA 作为 主动 协议 和 线性 时 态 逻 辑 的 形式 化 建 模 方式 来 描述 其 性 
能 具有 比 之 前 方法 更 大 的 优势 。 关 于 形式 化 规范 ， 在 6. 4 节 中 介绍 的 语言 都 不 能 
用 于 描述 通信 协议 。 因 此 ， 这 些 语言 都 不 足以 满足 协议 工程 人 员 所 采用 的 语言 ， 
Hep, 通常 需 要 考虑 基于 迁移 的 语言 。PROMELA 集成 了 协议 开发 所 需 的 功能 : 
消息 、 通 信 通 道 、 损 耗 以 及 直接 为 特定 主动 网 络 架构 提供 支持 的 重新 排序 或 并 发 
模型 。 此 外 ，PROMELA 通常 与 执行 最 终 代码 (Java 或 C) 时 的 命令 式 语言 具有 
许多 相似 性 。 与 某 些 其 他 形式 化 方法 (如 Maude 或 Unity) 相 比 ， 这 使 得 更 加 易 
于 编写 PROMELA 代码 ， 从 而 能 够 实现 从 最 终 源 代码 中 抽象 有 效 ( 自动) 模型。 

在 性 能 方面 ，LTL 可 支持 除 ActiveSPEC 之 外 所 介绍 的 几乎 所 有 方法 。 值 得 
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注意 的 是 ， 采 用 未 扩展 的 时 态 逻 辑 ( 如 在 MEDL 中 使 用 辅助 变量 ) 具有 更 高 的 
效率 。SPIN 还 可 采用 线性 时 态 逻 辑 运算 符 的 整个 范围 ， 而 不 是 Unity 中 缩减 了 的 
那 部 分 。 此 外 ， 对 于 不 熟悉 逻辑 运算 的 用 户 ，SPIN 利用 图 形 化 的 线性 时 间 编 辑 
器 工具 "或 通信 式 观 测 器 (同步 自动 机 ) 提供 了 一 些 表示 性 能 的 辅助 逻辑 符号 。 

最 后 ， 最 实际 的 分 析 工 具 是 可 以 执行 自动 验证 的 ， 即 对 所 有 可 能 的 执行 方案 
进行 完备 搜索 。 
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7.1 简介 


如 今 ， 计 算 机 控制 设备 普遍 存在 于 许多 行业 领域 ， 包 括 商业 和 安全 关键 领 
域 。 为 此 ， 采 用 设计 于 管理 设备 之 间 相 互 作 用 的 通信 协议 是 非常 普遍 的 。 近 年 
来 ， 在 形式 化 验证 方法 的 开发 和 配置 方面 具有 显著 发 展 ， 这 主要 用 于 建立 大 量 实 
际 系统 中 故障 辨识 的 正确 性 ， 事 实证 明了 涵盖 本 书 所 讨论 主题 的 广度 。 

本 章 介绍 了 将 形式 化 验证 技术 应 用 到 通信 协议 的 研究 工作 。 这 种 系统 代表 了 
在 形式 化 验证 方面 特别 具有 挑战 性 的 情况 ， 为 成 功 建 模 和 分 析 ， 必 须 考虑 以 下 几 
个 关键 方面 : 多 组 元 之 间 的 并 发 性 在 不 同位 置 和 未 知 速度 下 的 可 能 操作 ; 在 协 
议 以 及 所 设计 的 操作 媒介 施加 的 准确 实时 约束 ; 通常 用 于 破坏 相同 协议 下 设备 通 
Tro PRE OBE BLE 。 

MERIR AUR do E. RTI BE P BELT A AIIE SOL ETE R AER 7C 
建 某 个 实际 系统 的 概率 模型 ， 并 根据 该 模型 的 数学 分 析 来 确定 原始 系统 的 有 用 特 
性 。 与 传统 的 验证 技术 不 同 ， 概 率 模 型 校 验 不 仅 可 以 用 来 确定 正确 性 ， 也 可 用 于 
确定 性 能 和 可 靠 性 等 定量 分 析 措 施 。 这 些 技术 可 应 用 于 一 系列 的 概率 模型 ， 通 常 
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是 各 种 形式 的 马尔 可 夫 链 ， 但 在 此 特别 重要 的 是 在 概率 时 间 自 动机 (PTA) 方面 
的 应 用 ， 这 是 一 种 可 巧妙 地 表征 不 确定 性 、 实 时 性 和 概率 行为 的 模型 。 本 章 对 
PTA 、 概 率 模型 校 验 和 相应 的 实现 技术 与 工具 进行 概述 。 此 外 ， 还 通过 一 个 案例 
分 析 〈 用 于 以 太 网 网 络 中 实例 的 IEEE 802.3 (载波 监听 多 路 访问 /冲突 检测 
[CSMA /CD]) 协议 ) 来 阐述 其 在 通信 协议 领域 的 作用 。 


7.2 PTA 


PTA 是 一 种 对 具有 不 确定 性 、 实 时 性 和 概率 特征 行为 的 系统 进行 形式 化 建 模 
的 方法 “1。PTA 是 一 种 扩展 的 时 间 自 动机 '" ， 这 是 一 种 对 实时 系统 形式 化 验证 
的 最 具 发 展 前 景 的 形式 化 方法 。 

本 节 通 过 图 7. 1 所 示 的 示例 来 前 述 (概率 ) 时 间 自 动机 的 一 些 基 本 概念 。 
图 中 给 出 了 一 个 站 点 试图 在 总 线 上 传输 的 简单 通信 协议 的 自动 建 模 。 如 果 某 个 站 
点 的 传输 被 另 一 个 站 点 的 传输 中 断 〈 冲 突 ) ， 那 么 该 站 点 就 停止 活动 ， 并 在 再 次 
开始 发 送信 息 之 前 等 待 一 个 随机 产生 的 时 间 。 模 型 的 花 制 状态 ( 传输、 等 待 和 完 
成 ) 可 通过 图 的 节点 以 及 图 边缘 表示 的 控制 状态 之 间 的 可 能 转移 来 表征 。 在 初 
始 状 态 ， 通 过 双向 边界 表示 的 传输 是 指 系统 进行 的 传输 。 从 开始 传输 的 5 个 单位 
时 间 后 ， 消 息 成 功 发 送 ， 且 模型 移动 到 完成 状态 。 时 间 依 赖 性 可 通过 边 的 时 钾 、 
信守 和 重 置 以 及 状态 的 不 变量 来 表征 。 时 钟 是 一 个 实数 变量 且 系 统 开始 执行 时 为 
0， 当 模型 位 于 同一 控制 状态 时 以 与 实际 时 间 相同 的 变化 速度 增加 。 该 示例 模型 
中 具有 单个 时 钟 x。 从 TRANSMIT 到 DONE 的 边 的 值守 为 x =5， 且 当时 钟 x 的 值 
为 5 时 表明 可 遍历 边 。TRANSMIT 状态 的 不 变量 是 x<5， 且 表明 在 时 钟 值 x* 大 于 
5 之 前 ， 控 制 必须 通过 TRANSMIT。 


x:=0 


补偿 :=RAND 





x= 
x: 


补偿 
=0 


图 7.1 一 个 概率 时 间 自动 机 示例 


从 TRANSMIT 到 WAIT 的 边 并 未 由 值守 标记 ， 这 可 解释 为 从 TRANSMIT 总 
是 可 遍历 边 ， 而 无 论 时 钟 x 为 何 值 。 不 管 是 否 采用 该 边 ， 在 自动 机 位 于 TRANS- 
MIT 状态 内 的 任何 时 间 点 都 是 一 种 不 确定 竹 选择 。 该 边 的 遍历 对 应 于 网 络 中 其 他 
站 点 同时 在 总 线 上 传输 所 引起 的 中 断 。 边 具有 由 x: =0 表示 的 时 钟 复 位 功能 ， 这 
表明 在 进入 WAIT 状态 时 ， 时 钟 x 重 置 为 0。 除 了 时 钟 ， 还 允许 称 为 重 置 、 值 
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守 和 不 变量 的 有 限 域 变量 ， 此 外 还 允许 这 些 变量 的 概率 重 置 ， 相 对 于 时 钟 重 置 时 
确定 赋值 为 0。 在 遍历 从 TRANSMIT 到 WAIT 的 边 时 ， 根 据 赋值 补偿 : = RAND 
(其 中 ，RAND 是 一 个 可 能 补偿 值 的 概率 分 布 ， 如 自然 数 3 ~ 10 的 均匀 分 布 ) A 
限 域 变量 补偿 值 可 设置 为 一 个 随机 值 。 另 外 ， 随 后 将 在 状态 WAIT 的 不 变量 以 及 
从 WAIT 到 TRANSMIT 的 边 的 值守 中 使 用 该 认 偿 值 ， 以 确保 当时 钟 x 的 值 达到 补 
偿 值 时 ， 可 控制 返回 到 状态 TRANSMIT, 

图 7. 1 给 出 了 一 个 PTA 的 示例 。 值 得 注意 的 是 ， 通 过 标准 时 间 自 动机 上 的 
非 概率 赋值 结果 代替 了 概率 赋值 补偿 : =RAND。 虽 然 并 未 在 该 示例 中 曾 述 ，PTA 
还 可 由 一 组 标记 边 的 事件 进行 扩展 。 然 后 ， 这 些 事件 可 用 来 定义 一 些 PTA 的 并 
行 复合 ， 其 中 ， 每 个 自动 机 都 看 作 整 个 系统 的 一 个 子 组 件 ， 同 时 ， 自 动机 在 共享 
事件 上 同步 。 这 种 事件 将 在 7.4 节 中 根据 CSMA/CD 协议 来 定义 总 线 的 PTA 并 行 
复合 和 两 个 站 点 的 操作 。 在 文献 [27] 中 基于 时 间 自 动机 的 案例 " 和 概率 转移 
系统 ”引入 并 行 复合 算 子 。 

PTA 的 语义 可 正式 定义 为 一 个 无 限 状态 马尔 可 夫 决 策 过 程 (MDP) ， 这 是 一 
个 支持 不 确定 性 选择 的 概率 模型 ， 且 以 离散 节拍 进行 转移 。 由 于 PTA 的 时 钟 为 
实数 变量 ， 因 此 MDP 通常 包含 无 限 状态 。 同 理 ， 随 时 间 变 化 的 状态 转移 在 数量 
上 也 是 无 穷 的 ， 这 是 因为 这 对 应 于 实数 时 间 间 隔 。 通 常 由 时 态 逻 辑 中 规范 的 一 个 
或 多 个 性 能 的 形式 化 验证 的 PTA 分 析 是 非常 重要 的 ， 因 为 模型 校 验算 法 通常 用 
于 有 限 状态 模型 。 然 而 ， 根 据 ( 非 概率 ) 时 间 自 动机 模型 校 验 的 类 似 研究 ， 可 
获得 PTA 的 准确 可 靠 的 有 限 状 态 表示 ， 这 可 用 于 分 析 大 范围 性 能 正确 性 或 性 能 
指标 。 这 种 表示 的 一 个 示例 是 基于 数字 时 促 ， 其 中 PTA 的 时 钟 取 为 整数 值 ， 而 
不 是 实数 值 '“ 。 这 种 方法 要 求 值守 时 钟 和 不 变量 时 钟 的 对 比 不 是 很 严格 ， 然 而 
这 是 实际 系统 的 PTA 模型 中 的 常见 性 能 ， 如 本 章 考 虑 的 CSMA/CD 协议 。 到 目前 
为 止 ， 数 字 时 钟 的 方法 已 成 功用 于 所 提出 的 PTA 有 限 状 态 表示 实践 中 : 即 已 用 
于 验证 CSMA/CD fi’! 、 部 分 无 线 局 域 网 的 IEEE 802. 11 标准 5 3 、 相 线 根 
(FireWire root) 4g HX" s IPv4 AS BOE PE 2 BLU. 

另 一 种 PTA WAT ATE SEF REHEAT APA, WSK, ELH 
[25] 中 介绍 了 基于 状态 空间 前 向 遍历 的 该 方法 。 随 后 在 文献 [22] 中 的 工作 中 
通过 采用 抽象 细 化 和 随机 游戏 扩展 了 其 适用 范围 。 另 一 方面 ,文献 [28] PH 
发 的 技术 是 基于 状态 空间 的 后 向 搜索 ， 现 已 用 于 成 本 和 回报 性 能 的 分 析 52 


7.3 概率 模型 校 验 


概率 模型 校 验 是 一 种 用 于 具有 随机 行为 的 系统 建 模 和 分 析 的 形式 化 验证 技 
术 。 该 方法 可 应 用 于 几 种 不 同类 型 的 概率 模型 中 。3 个 最 常见 的 应 用 是 : 时 间 建 
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模 为 离散 节拍 且 离 散 概率 选择 随机 性 的 离散 时 间 马 尔 可 夫 链 (DTMC); 将 DT- 
MC 扩展 具有 不 确定 性 行为 表征 能 力 的 MDP; 不 允许 非 确 定性 但 允许 根据 指数 分 
布 规范 实际 (连续) 时间 特性 的 连续 时 间 马 尔 可 夫 链 (CTMC ) 。 本 章 主要 关注 
MDP， 这 是 因为 上 节 所 述 的 许多 情况 下 PTA 的 分 析 都 可 归 类 为 MDP 的 分 析 。 另 
外 ， 也 讨论 了 DTMC， 这 可 看 作 一 种 不 存在 不 确定 性 的 特殊 MDP. 
DTMC 和 MDP 的 性 能 通常 都 以 时 态 逻 辑 表 示 ， 如 概率 计算 树 逻 辑 
(PCTL) 5 和 线性 时 态 逻 辑 (LIL) "| 。 根 据 这 些 逻 辑 ， 可 推导 以 下 定量 : 
© “协议 最 终 终 止 的 概率 ”; 
e。“ 每 个 请 求 后 确认 或 超时 信号 的 概率 ”; 
e“ 在 35hs 内 成 功 接收 消息 的 概率 ”。 
在 MDP 情况 下 ， 实 际 上 不 可 能 计算 得 到 精确 的 概率 值 ， 这 正 是 由 于 在 模型 
中 存在 不 确定 性 。 在 这 种 情况 下 ， 所 计算 的 值 为 所 有 可 能 不 确定 性 结果 中 的 最 小 
概率 或 最 大 概率 。 这 对 应 于 最 好 傅 况 或 最 妹 傅 次 的 分 析 (根据 概率 含义 ) 。 此 
外 ， 这 也 常常 适用 于 DTMC 和 MDP， 来 计算 模型 整个 可 能 配置 范围 或 参数 上 的 
最 小 概率 或 最 大 概率 ， 以 产生 一 种 不 同 的 最 好 /最 坏 分 析 。 最 后 ， 值 得 注意 的 是 ， 
还 可 以 通过 实数 值 的 成 杰 或 隔 报 来 增强 DTMC 和 MDP， 这 可 由 多 种 度量 方式 来 
表示 ， 例 如 ,“ 系 统 电能 损耗 ”"、“ 消 息 丢 失 数量 ”或 “消息 队列 大 小 "。 然 后 就 
有 可 能 推导 出 〈 可 能 是 最 低 或 最 高 ) 这 些 措施 的 期 望 值 ， 例 如 ; 
e“ 系 统 操 作 前 20s 的 预期 电能 损耗 ”; 
e“ 协 议 终止 前 的 预期 消息 丢失 数量 ”; 
e“500hs 后 预期 发 送 消息 队列 数量 ”。 


7.3.1 概率 模型 校 验 技术 


7.3.1.1 数值 解 

传统 概率 模型 校 验方 法 需要 构建 整个 概率 模型 的 表征 ， 并 由 此 推导 出 一 个 或 
多 个 有 关 将 要 分 析 模 型 的 性 能 结果 的 数值 问题 。 该 方法 的 第 一 步 往往 只 需要 分 析 
概率 模型 的 基本 图 (如 基于 可 达 性 的 技术 ) ， 而 其 余 方法 (通常 表示 在 效率 方面 
存在 的 瓶颈 ) 需要 进行 数值 计算 。 通 常 ， 需 要 求解 线性 方程 系统 问题 (DTMC ) 
或 线性 优化 问题 (MDP) 。 尽 管 这 些 问题 都 可 出 于 效率 原因 通过 直接 方法 进行 求 
解 ( 如 高 斯 消 元 法 或 单纯 形 )， 但 经 常 采 用 的 是 送 代 方 法 (如 高 斯 - 赛 德尔 法 或 动 
态 规 划 法 )。 只 有 当 收 敛 达 到 预期 精度 时 ， 才 会 终止 每 次 迭代 的 收敛 解 。 例 如 ， 
更 多 细节 请 参见 文献 [32]。 
7.3.1.2 近似 概率 计算 

男 一 种 方法 是 采用 离散 事件 仿真 和 蒙特 卡 罗 方 法 相 结 合 来 估计 与 PCTL 公 
关联 的 概率 。 这 是 通过 在 DTMC 中 生成 深度 为 上 的 随机 路 径 并 计算 估计 Prob, 
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[y] 的 随机 变量 值 ， 方 程 沙 的 概率 满足 大 多 数 深度 为 上 的 路 径 。 具 体 而 言 ， 执 
行 上 述 过 程 的 算法 将 DTMCx 的 简洁 表示 、 公 式 、 正 整数 k 和 两 个 参数 5 5 TE 
为 输入 ,产生 值 4(x，s，6)。 这 是 一 种 完全 磊 机 近似 多 项 式 方案 ， 意 味 着 结果 
满足 

Prob[ | A(x,2,8)-u(x)| €e] z1-6 
式 中 , alx) 为 Prob,[u] 的 准确 值 ;s 为 近似 参数 ; 6 ette . 

该 算法 必须 通过 DTMC ÆR Ole, log (8:0) 路 径 。 该 方法 的 最 大 优势 
在 于 ， 由 于 随机 路 径 只 能 由 DTMC 的 简洁 表示 生成 ， 因 此 可 避免 构建 模型 及 其 
状态 空间 (这 可 能 成 本 很 高 )， 从 而 只 占用 非常 少 的 内 存 。 一 种 基于 验收 采样 和 
假设 检验 ”| 的 相关 技术 也 需要 进行 对 离散 事件 仿真 的 随机 采样 ， 但 这 只 是 为 了 
检查 满足 公式 的 概率 是 否 在 给 定 边界 条 件 内 。 


7.3.2 概率 模型 校 验 工具 


PRISM'*” 是 一 种 开源 的 概率 模型 校 验 工具 ， 最 初 由 伯明翰 大 学 提出 ， 目 前 
由 牛津 大 学 开发 。 该 工具 可 支持 DTMC, CTMC 和 MDP 的 分 析 。 采 用 PRISM Œ 
模 语 言 对 模型 进行 描述 ， 这 是 一 种 相对 简单 的 反应 模块 形式 化 为 基础 的 基于 状态 
的 语言 ， 同 时 ， 以 一 种 集成 LTL、PCT、 连 续 随机 人 逻辑 (CSL， 对 于 CTMC 的 
一 种 PCTL 形式 ) 以 及 一 些 自 定 义 扩 展 的 逻辑 来 规范 性 能 。PRISM 还 可 支持 成 本 
和 回报 的 建 模 和 分 析 。PRISM 的 一 个 关键 特性 是 采用 基于 二 元 决策 图 (BDD) 
的 数据 结构 的 符号 实现 技术 。 这 些 可 允许 通过 利用 从 高 层 描述 推导 的 结构 和 规律 
来 对 超大 概率 模型 进行 紧凑 表示 和 有 效 处 理 。 这 种 技术 已 成 功 应 用 到 状态 多 达 
10" 模 型 的 概率 验证 〈( 例 如， 参见 文献 [11，24] ) 。 

APMC (近似 概率 模型 校 验 器 ) ”是 一 种 由 巴黎 第 七 大 学 和 巴黎 南大 学 
(巴黎 第 十 一 大 学 ) 合作 开发 的 分 布 式 模型 校 验 器 。 该 工具 采用 一 种 有 效 的 蒙特 
卡 罗 法 来 近似 满足 如 前 面 所 述 的 DTMC 的 PCTL 性 能 概率 。 最 新 版 本 的 APMC 还 
能 验证 CTMC ， 但 并 未 应 用 于 本 书 所 述 的 工作 。 该 工具 包括 两 大 部 分 。 第 一 部 分 
是 一 个 能 够 为 PRISM 语言 描述 的 DTMC 及 其 性 能 产生 ad hoc 校 验 (包括 路 径 生 
成 器 和 校 验 器 ) 的 编译 器 。APMC 可 实现 不 同 策略 以 生成 与 反应 模块 同步 的 程序 
代码 : 最 有 效 的 程序 代码 称 为 “编译 时 间 同 步 "， 即 预先 计算 所 有 组 合 规则 ， 从 
而 建立 同步 的 简洁 模型 表示 。 

第 二 部 分 是 需要 ad hoc 验证 器 和 一 组 可 用 计算 资源 的 配置 器 ， 用 于 在 这 些 
计算 机 上 配置 验证 器 并 采集 模型 中 公式 的 近似 满足 概率 结果 。APMC 实现 了 模型 
校 验 的 一 个 大 规模 (但 自然 ) 分 布 方法 。 根 据 树 状 拓扑 结构 进行 配置 以 实现 高 
效 且 可 扩展 的 配置 。 例 如 ， 这 样 可 提供 一 种 对 数 延 迟 以 聚合 从 所 有 节点 到 根 节点 
的 结果 。 树 状 拓扑 的 一 个 缺点 是 系统 可 能 过 度 生 成 和 验证 某 些 采 样 ， 但 可 确保 在 
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系统 中 不 存在 争议 点 。 关 于 APMC 实现 的 更 多 信息 可 参见 文献 [14]. 
7.3.2.1 其 他 工具 

目前 ， 存 在 一 些 其 他 的 MDP 模型 校 验 工具 。LiQuor'” 对 利用 称 为 PROBME- 
LA 的 表示 语言 进行 MDP 建 模 的 LTL 进行 显 式 状态 模型 校 验 ， 该 语言 是 对 SPIN 
中 的 PROMELA 语言 进行 概率 扩展 。RAPTURE'" 采用 一 种 迭代 抽象 细 分 技术 来 
验证 PCTL 性 能 的 子 集 。ProbDiVinE'1 支 持 并 行 和 分 布 式 的 线性 时 态 逻 辑 模 型 校 
验 。 同 时 ， 还 有 很 多 支持 DTMC 和 CTMC 概率 模型 校 验 的 其 他 工具 ， 其 中 包括 
MRMC”!! 、PEPA 插件 程序 '*! , CASPAU? 、APNN 工具 箱 ' "和 Ymer” 。 


7.4 案例 分 析 : CSMA/CD 


本 节 介 绍 了 一 个 利用 PTA 和 概率 模型 校 验 进行 分 析 的 随机 通信 协议 典型 案 
例 分 析 。 在 此 采用 了 CSMA/CD 协议 ， 这 是 IEEE 802.3 国际 标准 (以 太 网 网 络 
通信 协议 ) 的 一 个 基本 组 成 部 分 。 

该 协议 已 通过 各 种 方法 进行 了 广泛 研究 ， 其 中 包括 仿真 (5 、 分 析 方法 
和 实时 模型 校 验 '* 。 文 献 [10, 28] 中 进行 了 在 协议 概率 方面 的 首次 准确 形式 
化 分 析 ， 其 中 系统 是 通过 PTA 建 模 ， 并 且 协 议 概率 行为 的 正确 性 是 通过 分 析 可 
达 性 和 时 间 有 界 可 达 性 的 最 小 概率 和 最 大 概率 来 进行 验证 的 。 

文献 [ 10，28] 这 两 篇 论文 分 别 采 用 不 同方 法 来 解决 概率 (实时) 模型 校 验 
中 通常 出 现 的 状态 空间 爆炸 问题 。 在 文献 [10] 中 ， 时 间 离 散 (采用 7.2 节 中 
所 述 的 数字 时 钟 方法 ) ， 并 利用 PRISM 7 和 APMC 来 分 析 所 得 模型 。 在 文 
Bk [28] rp, PTA 模型 是 通过 在 PRISM 原型 扩展 上 实现 的 经 典 时 间 自 动机 的 模 
型 校 验 方法 进行 概率 扩展 来 分 析 的 '" 。 


7.4.1 协议 


CSMA/CD 是 一 种 分 布 式 网 络 仲裁 协议 ， 其 中 在 此 称 为 站 点 的 多 重 网 络 接口 
FE (NIC) 可 在 称 为 载体 或 总 线 的 单个 通道 上 进行 通信 。 所 有 站 点 都 可 向 网 络 发 
送 消息 (多 收 芒 癌 ) ， 并 且 每 个 站 点 都 可 检测 总 线 是 空闲 还 是 正在 传送 来 自 另 一 
站 点 的 消息 GECUEUEDT). 。 当 一 个 站 点 感知 到 总 线 忙 时 ， 则 将 在 传输 自身 消息 前 
进行 等 待 。 然 而 由 于 网 络 间 信和 号 延迟 传播 ， 站 点 将 可 能 同时 传输 消息 。 在 发 生 这 
种 情况 时 ， 将 会 产生 冲突 ， 所 有 消息 均 丢 失 且 站 点 接收 到 一 个 乱码 信号 。 由 此 ， 
站 点 就 可 观测 到 消息 已 丢失 (RRM). ARE CSMAZCD， 这 种 情况 发 生 后 ， 
在 试图 重新 传输 消息 之 前 自主 选择 随机 延迟 (PRON EIT TH] ) ， 站 点 可 重新 安排 
自身 消息 传输 。 已 经 发 生 碰 撞 的 数量 以 指数 形式 增加 时 ， 该 随机 补偿 时 间 可 在 冲 
突 发 生 次 数 指数 形式 增 大 的 整个 时 间 间 隔 内 均匀 选择 。 在 此 ， 仅 着 重 考虑 革 一 时 


122 工业 关键 系统 的 形式 化 方法 : 应 用 综述 





刻 只 能 传输 一 个 消息 的 半 双 工 协议 。 
7.4.2 PTA 模型 


在 此 采用 的 CSMA/CD 协议 模型 是 文献 [10, 28, 38] 中 的 组 合 模型 ， 并 考 
虑 具有 两 个 站 点 的 情况 。PTA 模型 包括 表示 两 个 站 点 和 总 线 的 并 行 操作 的 3 个 组 
件 。 该 模型 具有 两 个 参数 ， 即 o 和 和 ， 分 别 表示 数据 沿 总 线 传播 的 所 需 时 间 和 发 
送 一 个 完整 消息 的 所 需 时 间 。 

站 点 i (Xr, i=1, 2) 的 PTA 模型 如 图 7.2 所 示 。 每 个 站 点 都 具有 一 个 
时 钟 x;。 首 先 ， 以 INIT 状态 开始 并 试图 达到 消息 已 正确 发 送 到 其 他 站 点 的 DONE 
状态 。 当 站 点 要 发 送 一 条 消息 时 〈 在 一 定 延迟 后 ) ， 将 移动 到 TRANSMIT 状态 。 
如 果 在 时 间 A 内 没有 检测 到 冲突 ， 那么 消息 将 被 正确 传输 并 且 站 点 移动 到 DONE 
状态 。 否 则 ， 若 在 o 时 间 单 位 内 检测 到 一 个 冲突 (标记 为 cd;)， 则 站 点 移动 到 
COLLIDE 状态 。 然 后 产生 一 个 随机 等 待 延迟 并 等 待 相应 的 时 间 。 当 等 待 时 间 结 
束 时 ， 有 两 种 选择 : 如 果 总 线 空 闲 ， 站 点 将 尝试 重新 发 送 该 消息 。 如 果 总 线 忙 ， 
站 点 增加 冲突 计数 器 的 值 be ( 直到 最 大 值 K) ， 并 选择 另 一 随机 延迟 。 






x, delay 
send, 


TRANSMIT 
X;€À 


backoff:- RAND(5c) 


xj-0 






Xi:=0 
send, 
x= backoff 


WAIT 
x, backoff 


be:=min{ be+1,K} 











COLLIDE 
Xi=0 






x;-backoff 
busy, 


x;=0 
be:=min{ be+1,K} 


图 7.2 一 个 站 点 的 概率 时 间 自 动机 模型 


连接 两 个 站 点 的 总 线 的 PTA 模型 如 图 7. 3 所 示 。 在 某 个 站 点 准备 发 送 消息 
之 前 ， 总 线 从 INIT 状态 开始 移动 到 TRANSMIT 状态 。 如 果 没 有 任何 发 生 ， 站 点 
将 完成 本 次 传输 (标记 为 end;) 。 在 TRANSMIT 状态 时 ， 第 2 个 站 点 只 能 在 表示 
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总 线 上 传播 时 间 的 时 间 o 之 前 发 送 消息 ， 此 后 站 点 感知 到 总 线 忙 并 不 进行 发 送 。 
总 线 利用 时 钟 y, Aly, 来 实现 上 述 过 程 。 如 果 在 时 间 o 内 发 生 两 个 发 送行 为 ， 则 
总 线 移动 到 COLLIDE 状态 。 当 接收 到 其 他 站 点 的 消息 时 ， 两 个 站 点 均 会 检测 到 
冲突 ， 并 停止 发 送 ， 总 线 将 返回 到 INIT 状态 。 

end; 
y,:70 


COLLIDE 
y So 
VSO 





图 7.3 总 线 的 概率 时 间 自 动机 模型 


7.4.3 模型 分 析 


在 7.2 节 中 已 利用 数字 时 钟 方法 对 PTA 模型 进行 了 分 析 。 通 过 两 个 工具 
PRISM 和 APMC 对 所 得 MDP 的 概率 模型 进行 校 验 。 对 于 CSMA/CD 的 模型 参数 
c 和 和 A， 分 别 取 2 和 65。 假 设 站 点 初始 发 送 消息 (延迟 ) 之 前 的 延迟 选择 在 
PRISM 分 析 时 是 不 确定 的 (为 0、1 或 2) ， 以 确保 考虑 到 所 有 可 能 性 。 而 在 采用 
APMC 时 这 是 不 可 能 的 ， 因 此 是 随机 选择 的 。 

在 具有 1GB RAM 且 运 行 Red Hat Linux 系统 的 2. 6GHz Pentium IV 便携 式 计 
算 机 上 进行 PRISM 实验 。 当 连续 迭代 产生 的 解 向 量 元 素 之 间 最 大 相对 误差 小 于 
10“ 时 ， 和 迭代 数值 计算 终止 。 

APMC 实验 是 在 由 具有 1GB RAM 运行 NetBSD 系统 的 500Athlon3000 + 工作 
站 和 具有 512MB RAM HX Ziz7 Debian Linux 系统 的 20 个 3GHz Pentium IV T. 
作 站 通过 100MB 以 太 网 连接 为 一 个 异 构 网 格 中 进行 。 在 计算 机 和 先进 技术 学 院 
(EPITA) 的 学 生 和 工作 人 员 使 用 时 ，APMC 作为 一 个 “循环 窃取 者 ”来 执行 ， 
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即 在 工作 站 的 后 台 运 行 ， 因 此 验证 成 本 的 时 间 统 计 不 精确 。 然 而 在 网 络 平均 负载 
较 低 期 间 ， 所 有 实验 都 在 2 天 内 完成 。 在 所 有 情况 下 ， 除 非特 殊 说 明 ， 均 采用 最 
有 效 的 APMC 策略 “编译 时 间 同 步 ”， 近 似 参 数 e 和 信任 参数 6 分 别 为 定 值 e = 
10 2 和 5= 10°”, 
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图 7.4 时 间 了 内 的 消息 发 送 概率 
a) K=1 b) K=5 c) K=10 
7.4.3.1 消息 传输 概率 
考虑 的 首要 性 能 是 在 特定 时 间 点 了 成 功 发 送 一 个 消息 的 概率 。 在 图 7.4 中 ， 
给 出 了 最 大 补偿 约束 天 (1、5 和 10， 指 定 标准 值 为 10) 和 了 范围 内 3 个 值 的 计 
算 结 果 。 在 此 给 出 通过 PRISM 计算 的 所 有 不 确定 选择 上 的 最 大 传输 概率 和 最 小 
传输 概率 ， 以 及 通过 APMC 计算 的 假设 初始 延迟 上 均匀 选择 的 平均 传输 概率 值 。 
结果 表明 ， 采 用 较 大 的 天 值 可 增 大 时 间 了 内 发 送 消息 的 最 小 、 最 大 和 平均 
概率 。 由 于 是 通过 站 点 初始 冲突 的 方式 来 构建 模型 ， 因 此 在 任何 限定 时 间 7 内 
概率 为 0， 即 不 允许 站 点 补偿 和 发 送 消息 。 值 得 注意 的 是 ， 图 中 的 每 个 图 形 (最 
小 和 最 大 ) 中 均 包 含 离散 跳跃 ， 这些 对 应 于 延迟 离散 集合 上 实际 的 补偿 延迟 概 
率 选择 。 平 均 概率 情况 下 的 图 形 更 加 平滑 且 正 如 预期 位 于 最 小 和 最 大 值 的 边 
界 内 。 
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图 7.5 消息 发 送 前 站 点 冲突 n 次 的 概率 
a) K=1 b) K=5 c) K=10 


7.4.3.2 冲突 概率 

接 下 来 ,考虑 成 功 发 送 单个 消息 之 前 发 生 n 次 冲突 的 概率 。 对 于 最 大 补偿 限 
制 天 的 3 个 值 以 及 在 1 ~10 的 nn 的 结果 如 图 7.5 所 示 。 同 理 ， 给 出 通过 PRISM 
计算 的 最 小 概率 和 最 大 概率 。 在 可 能 的 情况 下 ， 还 给 出 通过 APMC 计算 的 平均 
概率 值 。 然 而 ， 在 大 多 数 情况 下 ， 由 于 这 些 概率 值 较 小 ， 导 致 计算 不 切实 际 。 注 
意 到 所 需 样本 数 为 期 望 近 似 值 逆 的 二 次 方程 。 对 于 图 中 对 应 于 K=1 的 一 组 结 
果 ， 需 采用 10 的 精度 ， 这 需要 大 约 2 x 10? 个 样本 。 由 图 7.5 中 的 其 他 图 可 
Al, 天 值 越 大 ， 则 所 需 的 精度 越 高 ， 由 此 所 需 的 样本 数 不 可 行 。 

值得 注意 的 是 ， 由 于 是 以 站 点 初始 总 是 冲突 且 当 天 =1、5 和 10 时 ， 发 生 一 
次 冲突 (n=1) 的 最 小 概率 和 最 大 概率 为 1 的 方式 来 构建 模型 。 在 所 有 3 种 情 
况 下 ,结果 同 样 适 用 于 n=2 的 情况 ， 正 如 K=5 或 10 时 n<6 的 情况 。 由 于 站 点 
的 补偿 计数 器 无 法 达到 n+1， 直 到 站 点 冲突 达到 n+1 次 ， 因 此 这 是 所 期 望 的 。 
以 n=1 时 的 情况 为 例 ， 可 阐述 产生 这 些 结果 的 原因 如 下 : 

e 最 小 概率 等 于 0.5 所 对 应 的 是 站 点 在 同一 时 间 首 次 尝试 发 送 消息 (没有 
延迟 传播 的 约束 ) 的 情况 。 在 该 情形 下 ， 站 点 将 在 同一 时 间 检 测 到 第 1 次 冲 
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突 ， 因 此 发 生 第 2 次 冲突 的 概率 是 站 点 选择 相同 时 阶 数 等 待 的 概率 。 因 此 由 于 
这 是 等 待 1 或 2 个 时 隙 数 之 间 的 随机 选择 ， 站 点 发 生 第 2 次 冲突 的 概率 为 0.5。 
e 最 大 概率 等 于 0.75 所 对 应 的 是 传播 延迟 等 于 ur 且 站 点 初始 发 送 其 消息 

之 差 也 为 o 时 间 单 位 时 的 情况 。 在 这 种 情况 下 ， 试 图 传输 消息 的 第 2 个 站 点 

将 比 其 他 站 点 提前 o 时 间 单位 检测 到 该 冲突 ， 因 此 每 个 站 点 等 待 相同 时 阶 数 ， 

或 在 第 2 个 站 点 决定 等 待 一 个 时 隙 时 而 第 1 个 站 点 等 待 两 个 时 隙 下 ， 站 点 将 会 

发 生 第 2 次 冲突 ， 即 发 生 第 2 次 冲突 的 概率 为 0.75。 

一 般 而 言 ， 随 着 n WIA, AY n<K+1 时 ， 由 于 站 点 在 每 次 冲突 时 所 选 
择 的 补偿 范围 以 指数 形式 增 大 ， 因 此 可 认为 站 点 发 生 n 次 冲突 的 概率 会 迅速 减 
小 。 然 而 ,一 旦 n>K+1， 站 点 的 补偿 计数 器 在 冲突 发 生 后 不 再 增加 (已 达到 最 
大 值 K)， 因 此 站 点 选择 “补偿 ”的 范围 保持 相同 。 由 此 ， 发 生 冲 突 的 机 会 不 再 
急剧 下 降 。 
7.4.3.3 预期 成 本 

最 后 ， 考 虑 通过 分 析 考 虑 成 本 来 增强 概率 模型 的 两 个 性 能 。 首 先 ， 假 定 对 应 
于 冲突 的 每 次 模型 迁移 的 成 本 为 1， 并 计算 不 同 最 大 补偿 限制 K 值 时 发 生 冲 突 的 
预期 个 数 。 这 些 结 果 (同样 为 所 有 不 确定 性 解 的 最 大 值 和 最 小 值 ) 如 图 7. 6a 所 
示 。 其 次 ,假定 表示 一 个 离散 时 间 步 长 的 每 次 模型 迁移 的 成 本 为 1， 然后 计算 完 
成 消息 发 送 所 需 的 预期 时 间 。 这 些 结果 可 如 图 7.6b 所 示 。 如 上 所 述 ， 原 则 上 ， 
也 可 能 采用 离散 事件 模拟 和 蒙特 卡 洛 法 来 产生 这 些 性 能 的 平均 概率 值 。 但 是 ， 在 
APMC 中 尚 不 支持 这 些 技术 ， 因 此 在 此 并 不 包括 这 些 结果 。 


一 -最 小 值 | 


预期 成 本 




















图 7.6 发 送 一 个 消息 之 前 预期 成 本 的 结果 
a) RE: 冲突 个 数 b) 成 本 : 运行 时 间 


由 图 可 知 ， 随 着 K 值 增 大 ， 预 期 冲突 个 数 和 预期 执行 时 间 最 初 都 减少 。 这 
是 由 于 随 着 K 的 递增 ， 当 试图 重新 发 送 时 站 点 发 生 冲 突 的 机 会 减 小 ， 且 消息 发 
送 得 更 快 。 对 于 预期 的 冲突 个 数 ， 一 旦 K 大 于 2， 结 果 几 乎 不 变 。 这 是 因为 大 于 


第 7 章 ， 通 信 协 议 概率 模型 校 验 的 实际 应 用 127 





3 次 冲突 的 概率 很 小 ( 见 图 7.5) 。 对 于 图 中 预期 执行 时 间 的 天 值 较 大 时 ， 也 存 
在 类 似 情况 。 但 值得 注意 的 是 ， 在 K=2 ~4 预期 执行 时 间 增 大 ， 且 K =2 时 预期 
执行 最 少 。 这 是 因为 ， 尽 管 发 生 冲 突 的 次 数 为 3 或 4 的 概率 很 低 ， 但 这 些 情况 下 
补偿 所 需 的 大 量 时间 会 增 大 对 预期 时 间 的 影响 。 


7.5 讨论 和 小 结 


本 章 阐 述 了 形式 化 验证 法 对 通信 协议 分 析 的 适用 性 ， 特 别 是 采用 PTA 和 概 
率 模型 校 验 ， 以 及 数值 解 方法 或 基于 蒙特 卡 罗 模 拟 和 抽样 的 近似 技术 。 同 时 ， 还 
对 这 两 种 方法 进行 对 比 讨论 。 

首先 讨论 每 个 模型 可 执行 的 分 析 类 型 。 数 值 解 方 法 的 主要 优点 在 于 这 是 基于 
完整 模型 的 ， 并 通过 状态 空间 穷 举 搜索 来 构建 。 这 意味 着 可 能 会 推导 出 时 态 逻 辑 
性 能 查询 的 准确 解 (事实 上 ， 正 如 上 述 讨论 ， 数 值 迭 代 求解 方法 通常 是 构建 一 
个 期 望 精度 的 近似 值 ， 而 总 能 得 到 确切 方法 ) 。 此 外 ， 这 种 穷 举 方法 可 能 会 计算 
出 最 好 结果 和 最 坏 结果 ， 例 如 ， 对 模型 的 所 有 可 能 初始 配置 或 不 确定 性 的 所 有 可 
能 解 〈 例 如 ， 表 示 非 特定 模型 参数 下 进程 或 多 元 值 之 间 的 并 发 调度 ) 。 

相 比 之 下 ， 基 于 采样 的 技术 本 质 上 是 近似 的 ， 且 结果 表示 一 种 平均 行为 的 概 
念 。 然 而 ， 该 方法 适用 于 一 系列 更 广泛 的 模型 和 性 能 。 与 只 有 简单 求解 算法 可 用 
的 数值 解 不 同 ， 采 样 算法 可 应 用 于 任何 一 个 精确 执行 随机 仿真 的 模型 。 同 理 ， 通 
过 模型 的 有 限 路 径 可 计算 的 任何 性 能 都 可 以 这 种 方式 进行 分 析 。 

进行 对 比 的 另 一 个 重要 方面 是 这 两 种 方法 的 相对 效率 。 显 然 ， 改 进 后 数值 解 
的 精度 和 涵盖 范围 是 有 代价 的 。 其 中 采样 技术 的 一 个 主要 优势 是 ， 与 确切 方法 相 
比 ， 执 行 所 需 的 内 存 大 小 只 占 其 中 一 部 分 。 这 是 因为 可 在 一 个 简洁 表示 的 模型 上 
执行 采样 技术 ( 如 某 些 高 级 建 模 形式 化 描述 ) ， 以 及 典型 的 仿真 过 程 只 需 在 任何 
时 间 仅 存储 一 个 模型 状态 。 这 就 使 得 采样 技术 可 应 用 于 比 模型 穷 举 搜索 和 构建 不 
易 实 现 的 数值 解 更 大 的 模型 上 。 例如， 在 前 面 所 述 的 CSMA/CD 案例 分 析 中 ， 可 
考虑 具有 两 个 站 点 以 上 的 更 大 模型 配置 。 

第 2 个 优势 是 ， 采 样 技术 更 容易 实现 并 行 或 分 布 式 设 置 ， 当 然 这 可 极 大 地 减 
少 运 行 时 间 。 这 是 因为 每 个 个 体 采 样 的 计算 是 独立 的 ， 而 与 必须 进行 大 量 进 程 间 
通信 的 数值 解 并 行 化 不 同 。 事 实 上 ， 这 种 性 能 优势 是 相当 重要 的 ， 因 为 正如 之 前 
所 述 ， 获 得 准确 的 结果 可 能 需要 生成 超大 数量 的 样本 。 特 别 是 ， 当 计算 的 实际 值 
非常 小 时 ， 这 是 无 法 避免 的 。 

总 的 来 说 ， 显 然 根据 数值 解 穷 举 搜索 模型 的 概率 模型 校 验 法 和 基于 离散 事件 
模拟 和 采样 的 近似 方法 都 各 自 具 有 优点 、 缺 点 和 平衡 。 因 此 ， 一 种 大 概率 系统 
( 如 通信 协议 ) 的 成 功 分 析 很 可 能 需要 充分 利用 这 两 种 类 型 的 技术 。 
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8.1 简介 


在 线 会 议 系统 (OCS) 是 一 种 在 线 投稿 和 评审 服务 。 这 是 从 1999 年 开始 为 
Springer Verlag 出 版 社 服务 的 产品 中 的 一 部 分 ””” , 且 随 时 间 的 发 展 ， 还 包括 
期 刊 和 卷 生产 准备 服务 。0CS 作为 一 种 决策 支持 系统 便于 核准 和 拒绝 提交 的 过 


程 。 因 此 ， 该 服务 遵循 一 个 对 不 同 应 
用 领域 (如 会 议 或 期 刊 ) 定制 的 定义 
明确 的 工作 流 。 该 系统 的 目的 是 在 合 
作 过 程 中 用 于 协助 不 同 参与 者 的 高 效 
合作 。 

自 2009 年 以 来 ，0CS 经 历 了 全 新 
的 重新 设计 和 重新 实现 ， 目 标 是 使 之 
更 加 灵活 和 自 适 应 ， 同 时 也 更 适用 于 
验证 。 图 8.1 给 出 了 如 何 开 展 的 示意 
图 。 首 先 ， 描 述 某 些 局 部 模型 ， 如 会 
议 的 总 体 评价 模式 和 从 用 户 角度 观察 
的 论文 生命 周期 。 这 些 模型 可 进行 模 
型 检查 以 检查 基本 特性 ， 包 括 安全 、 
进展 , 或 简单 的 可 预期 因果 关系 。 随 
i, 这些“ 局 部 ”模型 可 通过 利用 复 
杂 的 通信 和 和 同步 原 语 (如 事件 处 理 和 
进程 创建 ) 在 企业 平台 运行 来 进行 半 








— 模型 校 验 





图 8.1 基于 模型 驱动 开发 方法 的 
新 型 0CS 开发 过 程 模型 
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自动 组 合 和 转换 。 特 别 是 ， 这 意味 着 并 没有 构建 0CS 的 任何 全 局 模型 。 相 反 ， 
可 获得 上 述 转换 的 充分 自由 度 ， 然 后 辅 以 8.4 节 中 描述 的 自动 机 学 习 技 术 ， 来回 
顾 推断 出 全 局 模型 。 
本 章 主要 侧重 于 验证 、 检 验 ， 特 别 是 学 习 方面 ， 以 及 将 复杂 半自动 转换 过 程 
的 处 理 (图 8. 1 中 黑色 部 分 ) 看 作 一 个 “黑箱 ”问题 ， 其 中 主要 是 : 
e 通过 消息 的 过 程 同步 ; 
。 通过 消息 的 事件 处 理 ; 
emit (动态 创建 的 ) 线程 的 (共享 资源 ) 并 行 处 理 ; 
e 进程 状态 和 业务 对 象 的 持续 性 。 
具体 而 言 ， 将 描述 如 何 开发 (8.2 节 和 8.3 节 ) 和 验证 (8.4 节 ) OCS 的 
“局 部 ”模型 ， 以 及 如 何 有 效 地 实现 这 些 组 合成 一 个 在 企业 平台 上 运行 的 系统 
(8.5 节 ) 。 相 应 应 急行 为 全 局 验证 的 关键 是 实验 性 探索 通过 自动 机 学 习 来 构建 系 
统 行为 模型 。 随 后 ， 对 该 方法 可 能 的 规模 进行 概述 (8.5.3 节 )， 并 总 结 相 关 工 
fE (8.6 节 ) ， 最 后 给 出 小 结 和 展望 (8.7 节 ) 。 


8.2 MPRE 


抽象 地 看 ，0CS 的 主要 目的 是 适当 处 理 大 量 独立 但 通常 间接 相关 的 用 户 交 
互 。 因 此 ， 可 将 OCS 看 作 一 个 具有 以 网 页 应 用 程序 提供 的 图 形 用 户 界面 (GUI) 
的 反应 式 系统 。 用 户 可 决定 在 其 执行 通常 由 小 工作 流 自 身 组 成 的 任务 以 及 多 任务 
时 想 要 处 理 或 拒绝 处 理 的 过 程 顺序 。 此 外 ， 这 种 交互 作用 主要 取决 于 评估 过 程 的 
阶段 (提交 阶段 、 评 审 阶 段 、 讨 论 阶 段 等 )， 因 此 具有 明显 的 控制 导向 特征 。 然 
而 ， 在 选择 单个 任务 和 众多 相关 参与 者 时 的 较 高 自由 度 可 排除 直接 建 模 由 于 状态 
爆炸 问题 的 面向 控制 的 图 结构 (如 自动 机 、 转 换 系统 )' I 。 为 此 决定 根据 以 下 条 
件 建立 一 个 混合 模型 ; 

e 通过 事件 和 资源 共享 组 织 和 同步 的 每 个 业务 实体 (WAR, HL) 的 
个 体 模型 集合 ; 

e 控制 流 类 似 图 结构 的 个 体 模型 ， 用 于 表示 整个 评估 过 程 中 每 个 所 涉及 业 
务 对 象 的 个 体 过 程 的 逐步 演变 ， 这 包括; 

e 在 每 个 状态 时 系统 提供 的 其 他 行为 声明 表示 的 状态 嵌入 ECA MAO, 

而 对 于 各 种 业务 实体 的 个 体 模 型 可 通过 类 似 模 型 校 验 的 技术 进行 验证 ， 如 
8.4 节 中 所 述 ， 在 此 提出 另 一 种 处 理 评估 过 程 整体 正确 性 的 方法 ， 即 利用 自动 机 





O ECA 规则 将 用 户 交互 作用 建 模 为 一 组 可 并 发 访问 且 根 据 当 前 事件 和 相关 条 件 进行 选择 的 规则 。 
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学 习 从 指导 性 实验 的 实际 实现 中 学 习 (推断 ) 全 局 行为 模型 ( 见 8.5 节 )。 这 种 
方法 的 优势 在 于 能 够 抑制 复杂 设计 模型 中 的 所 有 内 部 细节 以 及 处 理 现代 企业 架构 
中 的 复杂 通信 和 同步 方法 的 难度 ， 并 且 主 要 侧重 于 主要 问题 : 用 户 层 的 正确 性 。 

图 8. 2 将 一 个 会 议论 文 行为 的 用 户 模型 描述 为 一 个 混合 图 。 从 语法 上 ， 第 一 
个 状态 是 “开始 ”节点 和 沿 连接 线 的 控制 流 。 边 的 标签 表示 触发 迁移 到 下 一 状 
态 的 事件 〈 系 统 事件 或 用 户 交 互 ) 。 例 如 ， 当 期 限 到 了 时 导致 系统 迁移 到 具有 不 
同行 为 的 一 个 不 同 阶段 RE) 所 发 生 的 系统 事件 。 

OCS 是 一 个 基于 角色 的 系统 '” ， 这 意味 着 在 一 个 给 定 状态 下 ， 不 同 角色 可 
能 有 不 同 的 作用 位 。 由 此 ， 在 本 模型 中 可 区 别 这 些 不 同 的 动作 潜能 ， 并 通过 竖 线 
隔 开 在 一 个 状态 内 单独 建 模 。 例 如 ， 当 一 个 会 议 激活 后 〈 即 开始 节点 之 后 ) ， 会 
议 就 处 于 “摘要 提交 ”状态 ， 作 为 提交 者 角色 的 用 户 可 提交 摘要 ， 而 其 他 角色 
则 无 法 提交 。 此 外 ,还 具有 不 包含 任何 内 部 结构 的 纯 控 制 流 节点 例如， 检查 条 
fF (如 “评阅 人 分 配 ?”) 或 向 负责 人 提交 问题 的 系统 操作 (如 “向 计算 机 负责 
人 提交 ”) 。 

一 个 给 定 状态 下 的 可 用 行为 显然 可 建 模 为 ECA 规则 。 具 有 丰富 控制 结构 的 
行为 最 好 采集 为 控制 结构 ， 且 作为 ECA 规则 的 行为 不 是 唯一 确定 的 ， 这 显然 是 
一 个 设计 问题 。 事 实 上 ， 如 果 想 要 更 少 状态 和 更 紧凑 的 图 ， 可 以 引入 比 由 状态 和 
角色 定义 的 更 多 前 置 条 件 。 从 语法 上 说 ，ECA 规则 的 前 置 条 件 是 用 在 方 括号 中 
的 一 个 条 件 以 及 一 个 指示 符号 (“一”) 表示 。 例 如 ，” [docavail ] 一 download- 
doc” 意 味 着 文档 只 有 在 保存 后 ( 即 上 传 后 ) 才能 下 载 。 后 置 条 件 也 是 类 似 定 
义 。 一 个 状态 内 的 所 有 行为 都 是 指 ECA 规则 。 如 果 这 些 行为 具有 更 复杂 的 条 件 ， 
则 不 在 用 户 模 型 中 建 模 而 是 在 ECA 规则 本 身 中 建 模 。 例 如 ， 上 传 文档 可 能 只 限 
于 “PDF” 格 式 。 

采用 层次 结构 可 实现 更 简单 、 结 构 更 好 的 模型 。 例 如 ， 在 图 8. 2 中 的 “ 评 
"C BRE, 评阅 人 的 ECA 规则 具有 黑体 字 “ 评 审 ” 的 行为 。 这 形象 地 表明 该 规 
则 下 具有 子 模型 ， 如 图 8. 3 所 示 。 子 模型 表明 了 如 何在 评审 过 程 中 使 用 子 评阅 。 
通过 采用 层次 化 结构 可 大 大 简化 图 8. 2 所 示 的 用 户 模型 ， 此 外 ， 还 表明 子 评阅 是 
一 个 独立 行为 。 事 实 上 ， 一 些 会 议 根 本 不 允许 子 评阅 。 

在 图 8.2 和 图 8.3 中 ， 用 户 模型 描述 了 一 篇 论文 的 工作 流 。 因 此 ， 此 处 的 
“提交 者 ”和 “评阅 人 ”角色 与 当前 所 考虑 的 论文 有 关 ， 而 “PC 成 员 和 “PC 
主席 ”角色 的 行为 更 具有 全 局 性 ， 因 为 其 与 正在 进行 会 议 的 会 议 服务 有 关 。 为 
有 具有 更 好 的 可 读 性 ， 图 中 仅 显 示 了 所 考虑 论文 的 一 个 评阅 人 以 及 一 个 相关 的 子 评 
阅 人 。 
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图 8.2 新 型 OCS 中 一 篇 论文 行为 的 混合 用 户 模型 
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8.3 评阅 的 工作 流 过 程 (是 指 图 8.2 中 黑体 标记 的 ECA 规则 “评阅 ”) 


这 个 建 模 方式 易于 模块 化 定义 各 种 会 议和 论文 的 工作 流 : 不 同 会 议 的 工作 流 可 在 
独立 的 用 户 模型 中 定义 并 共存 于 同一 OCS 系统 中 。 用 户 模型 中 每 个 状态 的 ECA 
规则 集合 还 可 解释 为 OCS 中 的 当前 可 用 功能 。 在 此 ， 利 用 该 信息 来 动态 构建 web 
应 用 程序 的 CUI。 在 运行 时 ， 系 统 查询 ECA 规则 评估 为 真 的 条 件 ， 并 对 用 户 
GUI 给 出 相应 的 行为 集 。 这 个 动态 建立 CUI 的 方式 与 会 议 服务 的 具体 工作 流 无 
关 ， 因 此 适用 于 任何 可 能 出 现 的 〈 会 议 ) 服务 。 

刚刚 讨论 的 图 本 身 就 是 形式 化 的 模型 ， 是 在 jABC (8.3 节 ) 中 建 模 并 如 8. 4 
节 所 述 进 行 模型 校 验 。 


8.3 ”模型 与 框架 


OCS 模型 在 jABC'**3] 中 实现 ， 这 是 一 种 面向 服务 设计 和 人 允许 用 户 通 过 将 可 
重用 构建 块 组 合成 相对 形式 化 且 易 于 阅读 和 构建 的 ( 流 ) 图 结构 进行 服务 和 应 
用 开发 的 框架 。 类 似 于 通信 中 的 术语 '“! ， 这 些 构建 块 称 为 服务 无 关 构 建 块 
(SIB)， 并 且 在 面向 服务 的 计算 范式 ”和 One Thing 法 5 的 启发 下 ， 将 一 种 文 
献 [32] 中 基于 模型 的 轻 量 级 协调 方法 的 进化 算法 应 用 于 服务 。SIB 是 可 参数 化 
的 ， 从 而 使 得 其 行为 可 根据 当前 应 用 背景 而 自 适 应 。 此 外 ， 每 个 SIB 有 一 个 或 多 
个 指向 SIB 的 继承 构建 块 的 输出 支 路 。 在 运行 时 确定 采用 SIB 的 哪个 分 支 。 

在 一 个 大 型 SIB 库 的 基础 上 ， 用 户 对 期 望 系统 构建 称 为 服务 逻辑 图 (SLG) 

的 层次 化 图 模型 中 。 在 一 个 SLG 中 ， 一 个 SIB 可 表示 一 个 单一 功能 或 整个 子 图 
( 即 另 一 个 SLG) ， 从 而 可 作为 一 个 隐藏 更 详细 进程 模型 的 宏 。 此 功能 可 提供 不 
仅 是 组 件 而 且 在 更 大 应 用 程序 的 整个 CT) 模型 的 更 高 可 重用 性 。 

SLG 可 从 语义 上 解释 为 Kripke Transition Systems ( 克 里 普 克 转换 系统 ， 
KTS) ， 这 是 允许 节点 和 边 上 标记 的 Kripke 结构 和 标记 转换 系统 58] 的 一 种 通用 形 
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式 。SLG 中 的 节点 表示 活动 (或 服务 /组 件 ， 取 决 于 应 用 程序 领域 ) 。 边 直接 对 
应 于 SIB 分 支 ， 即 描述 如 何 根据 上 次 活动 的 结果 继续 执行 。 

jABC 插件 的 一 个 可 扩展 集合 提供 可 充分 支持 开发 生命 周期 所 需 活动 的 附加 
功能 ， 如 动画 、 快 速成 型 、 形 式 化 验证 、 调 试 、 代 码 生成 和 变更 管理 。 

跟踪 器 插件 可 为 jABC 中 的 SLG 提供 执行 层 。 跟 踪 器 可 将 一 个 SLG 解释 为 能 
够 跟踪 的 可 执行 有 向 控制 流 ， 这 类 似 于 标准 调试 器 中 在 运行 模式 或 单 步 模式 下 通 
过 断 点 或 暂停 来 中 断 执行 。 该 跟踪 器 可 应 用 于 整个 开发 周期 来 测试 从 一 个 初始 模 
型 快速 仿真 到 后 续 阶 段 更 全 面 模拟 的 运行 时 行为 。 

一 旦 一 个 jABC 应 用 程序 的 SLG 设计 完成 且 所 有 SIB 都 被 执行 ， 图 就 可 以 进 
行 代 码 生成 和 配置 。 这 是 Genesys 的 任务 ”1 ， 即 对 不 同 目标 平台 和 语言 (如 Ja- 
va, Cf, BPEL 和 Android) 提供 高 度 专业 化 代码 生成 器 的 一 个 jABC 插件 。 

然而 ， 将 一 个 SLG 解释 为 KTS 是 能 够 形式 化 验证 这 些 模型 并 在 设计 时 确保 
其 遵循 一 组 特性 的 核心 功能 。 为 了 支持 以 面向 性 能 的 方法 来 变更 管理 ， 这 不 仅 在 
初始 开发 阶段 非常 重要 ， 而 且 在 系统 演化 时 尤为 重要 。 


8.4 模型 校 验 


在 整个 开发 过 程 中 利用 模型 校 验 来 确保 对 于 个 体 业 务 对 象 能 使 得 模型 满足 特 
定性 能 。 从 系统 的 观点 来 看 ， 这 种 行为 可 看 作 子 系统 级 的 验证 。 在 此 没有 全 局 设 
计 模 型 。 相 反 ， 全 局 系统 行为 只 能 通过 实现 各 种 子 系统 的 进程 实例 间 的 实际 实现 
的 交互 作用 而 产生 。 正 如 8.5 节 中 所 述 ， 全 局 行为 可 利用 特定 的 自 适应 自动 机 学 
习 技 术 对 模型 外 推进 行 验证 。 

对 于 表示 为 SLG 的 子 系统 模型 的 验证 性 能 可 用 计算 树 逻 辑 (CLT)“ 进行 表 
示 ， 并 利用 参数 化 工具 箱 和 Hennessy- Milner 逻辑 (HML) 的 钻石 运算 符 
( 即 < >) 进行 强化 1: 

®::=AP|(4 6) |(@®A®) |(6 V6) |ACH|A( PUS) |[a]®| <a>@(8.1) 

语义 解释 如 下 : 

e AP Jon ACTA, XIX ue ff, 常量 真 和 假 。 

e 一 ， 八 和 V 是 常见 的 布尔 运算 符 。 

e AGO 意味 着 “在 每 个 状态 的 每 条 路 径 ， 甲 成立。” 

eA (Up) 的 意思 是 “在 每 条 路 径 上 ， ORLA PAA, 由 需要 在 每 
条 路 径 的 (至 少 ) 一 个 状态 上 成 立 。 在册 为 真 的 状态 上 ,中 可 能 为 真 或 
为 假 。” 

ela) D: “AAA “a” 的 下 一 节点 ， 轧 均 成 立 。” 

e <a>: "f£ ‘a’ H-A- E, ORS,” 
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CTL 是 一 种 广泛 用 于 表示 本 例 中 由 自动 机 建 模 的 系统 性 能 的 形式 化 方法 。 在 
本 书 中 ，CTL 也 由 Siminiceanu 和 Ciardo ( 见 第 5 章 ) 来 推理 航空 电子 系统 的 性 能 。 
图 8. 2 所 示 的 用 户 模 型 (在 8. 2 节 中 已 大 致 描述 ) 在 整个 会 议 服务 系统 的 
循环 周期 中 描述 了 处 理论 文 提交 的 控制 流 ， 该 过 程 由 几 个 阶段 组 成 (如 “摘要 
提交 ”、“ 论 文 提交 ”、“ 招 标 ”、“ 评 阅 ”、“ 最 终 稿 ") ， 每 个 阶段 都 有 特定 行为 。 
例如 ， 只 应 在 “摘要 提交 ”和 “论文 提交 ”阶段 允许 论文 文档 的 上 传 ， 且 性 能 
可 由 本 书 提出 的 CTL Xm: 
AG( [ 'submission'expires | (AG(-4 upload doc) ) ) (8.2) 
表示 在 标记 为 "'submission'expires 的 边 传递 后 禁止 upload doc 的 上 述 表 达 式 可 
通过 模型 校 验 易 于 检查 描述 论文 处 理 的 SLG。 令 人 惊讶 的 是 ， 这 证 明 性 能 不 成 
立 。 这 是 由 于 一 些 具 有 人 允许 重新 安排 提交 阶段 (参见 图 8.2 中 边 重新 安排 指向 
“abstract submission’” 阶段 的 “'abstract submission’”) 的 (常见 ) OCS 功能 的 
“功能 交互 ”所 致 "“"] 。 由 于 并 不 想 丧 失 该 常见 功能 ， 因 此 必须 使 得 性 能 更 宽松 
以 容忍 如 下 列 形式 的 附加 行为 : 
A G([ suhmission’ expires ] (A( (~ upload doc) U( Abstract Submission) ) ) ) 
(8.3) 


8.5 通过 自动 机 学 习 的 应 急 全 局 行为 验证 


本 方法 用 来 验证 全 局 系统 性 能 的 特点 是 明确 上 述 概述 的 子 系统 “传统 ”处 理 
和 基于 学 习 的 全 局 行为 研究 之 间 的 关系 。 正 如 对 于 许多 实际 系统 ， 将 子 系统 的 局 部 
模型 扩展 为 OCS 全 局 行为 的 形式 化 模型 (正如 在 文献 【22] 中 所 进行 的 基于 角色 
的 工作 ) 非常 繁琐 ， 这 是 由 于 会 涉及 各 种 通信 和 同步 范式 ， 如 事件 处 理 、 共 享 资 
源 ， 甚 至 进程 创建 ， 以 及 对 于 大 量 运 行进 程 实例 的 所 有 行为 。 为 此 ， 采 用 了 一 种 不 
同 的 观点 ， 即 主要 仅 关注 全 局 用 户 进程 以 及 重要 的 可 见 影响 。 自 动机 学 习 ( 见 第 11 
章 以 及 文献 [16，41] ， 具 有 通过 在 企业 平台 上 运行 应 用 程序 的 系统 实验 来 推断 或 外 
推 该 用 户 进程 的 近似 和 视图 的 潜力 。 根 据 实验 /测试 的 基础 ， 该 方法 具有 以 下 优点 : 
e 不 会 出 现 否 则 不 可 避免 的 状态 爆炸 问题 ; 
e 在 具有 所 有 复杂 通信 和 同步 机 制 的 实际 企业 系统 上 的 研究 基础 ; 
e 通过 着 重 于 特定 活动 的 抽象 、 抑 制 细节 和 投影 可 对 建 模 模 型 进行 微调 ，; 
e 建 模 模 型 的 精度 可 以 提高 系统 的 生命 周期 : 外 推 模型 和 在 基于 模型 的 监 
测 中 表现 的 实际 系统 之 间 的 差异 可 直接 用 于 细 化 模型 。 
所 产生 的 模型 可 用 于 生成 测试 ， 尤 其 是 回归 测试 ， 通 过 模型 校 验 ( 见 图 8. 1 
中 的 过 程 模型 ) 的 验证 ， 以 及 一 些 人 工 检测 。 接 下 来 ， 在 表明 如 何 利用 领域 知识 
来 使 得 该 方法 适用 于 更 大 规模 的 系统 模型 ， 直 到 实际 系统 模型 之 前 ， 将 首先 学 习 
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全 局 用 户 行为 的 某 些 抽象 视图 来 阐述 该 方法 。 
8.5.1 FIRE 


本 节 介绍 了 如 何 将 第 11 章 中 讨论 的 学 习 方法 应 用 于 0CS。 这 特别 是 需要 确 
定 一 个 允许 操控 实验 并 观测 系统 基本 结构 的 适当 字母 。 由 于 LearnLib 的 灵活 
PED], spiHRHESUBOE SLO 的 模型 ,这 从 结构 上 非常 类 似 于 Mealy H, 
即 由 LearnLib 特定 支持 的 模型 结构 。 在 对 于 基于 学 习 的 系统 查询 进行 测试 案 
例 动态 定义 的 基础 上 ， 通 过 对 web 客户 端的 OCS 应 用 程序 编程 接口 (API) 给 出 
相应 的 输入 字母 表 。 这 些 测试 案例 的 响应 构成 输出 字母 表 。 如 图 8.6 所 示 的 SLG 
是 一 个 小 型 学 习 模型 的 示例 。 其 中 ， 具 有 4 个 2 由 圆 形 节点 表示 的 状态 和 25 4S 
由 矩形 块 表示 的 迁移 。 这 些 和 矩形 块 的 标记 来 自 于 输入 字母 表 ( 见 图 8.4 中 随后 
考虑 的 初始 输入 字母 表 ) ， 而 从 矩形 块 输出 的 边 上 由 来 自 输出 字母 表 的 符号 进行 
标记 (在 此 为 default 和 error) 。 下 一 节 将 对 这 种 建 模 模型 进行 直观 描述 。 





EEE) ma 
创建 新 会 议 
中 止 提交 阶段 
图 8.4 输入 字母 : 一 组 用 户 级 的 原子 行为 
这 种 SLC 的 表示 相当 宛 长 ,但 具有 两 个 优点 : 


e 由 于 矩形 节点 直接 对 应 于 OCS 的 API 调用 ， 因 此 这 些 模 型 在 jABC 中 可 
直接 执行 ; 

e 随 着 jABC 立刻 成 为 一 个 相应 测试 环境 的 影响 ， 还 可 用 于 表示 学 习 过 程 
中 测试 案例 的 动态 创建 。 

在 图 8.4 中 显示 的 SIB 用 于 测试 案例 之 前 ， 必 须 完全 实例 化 。 例 如 ， 登 录 
SIB 必须 填写 用 户 名 /密码 ， 且 通常 情况 下 ， 至 少 需要 包含 其 中 一 项 正确 和 一 项 
错误 的 组 合 形式 来 研究 所 要 学 习 的 系统 。 

学 习 过 程 本 身 也 需要 一 些 准备 : 

e 由 于 动态 创建 的 测试 案例 必须 是 独立 的 ， 因 此 在 “ 才 新 ”系统 中 以 每 





外 ”参考 图 8.7，state0 ~ state4。 一 一 译 者 注 
O 参考 图 8.7。 一 译 者 注 
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个 测试 案例 开始 是 非常 重要 的 。 根 据 在 第 11 章 中 将 要 描述 的 重 置 抽象 技术 ， 
通过 对 每 个 测试 案例 在 OCS 中 都 创建 一 个 新 的 会 议 来 实现 。 

e 和 迭代 学 习 过 程 可 产生 所 谓 的 假设 模型 ， 即 与 现 有 观测 结果 相 一 致 的 中 间 模 
型 。 然 后 通过 所 谓 的 千 价 查询 来 检查 这 些 假设 是 否 与 期 望 模型 匹配 。 对 于 0CS， 提 供 
增强 的 输入 符号 (参见 图 8.5) 使 得 能 够 更 容易 地 发 现 假设 与 系统 之 间 的 潜在 差异 。 

接 下 来 ， 还 是 根据 这 些 前 提 条 件 来 相当 初步 地 处 理 OCS, 


8.5.2 学 习 行为 模型 


一 旦 图 8. 4 所 示 的 字母 表 完 全 实例 化 ， 则 自动 机 学 习 器 可 生成 如 图 8. 6 所 示 
的 SLG。 这 种 在 实际 OCS 中 本 身 可 执行 的 SLG 描述 了 在 一 个 由 一 组 输入 符号 隐 
式 定义 的 抽象 屋 上 的 OCS 行为 。 





提交 论文 
图 8.5 作为 字母 增强 的 输入 序列 





在 这 个 SLG 中， 标记 为 state < number > 的 SIB 对 应 于 Mealy 状态 机 的 状态 。 
从 这 些 状态 输出 的 边 到 达 SIB 对 应 于 OCS 的 输入 符号 。 例 如 ， 在 state0， 用 户 可 
登录 或 注销 。 这 是 因为 可 以 从 state0 到 标记 有 这 些 行为 并 得 到 确认 的 SBI 上 的 另 
一 状态 〈 即 default 的 输出 边 ) 。 另 一 方面 ， 在 这 种 状态 下 ， 用 户 既 不 能 提交 论文 
也 不 能 创建 新 的 会 议 ， 因 为 这 些 行为 会 产生 否定 裁决 〈( 即 输出 边 error) ， 从 而 在 
当前 OCS 中 不 可 行 。 

图 8. 6 中 的 SLG 是 由 等 效 oracle 数据 库 的 标准 近似 获得 的 ， 即 设计 一 个 ora- 
cle 数据 库 来 检测 有 差别 的 运行 ， 这 是 运行 在 假设 模型 与 实际 系统 之 间 的 对 称 差 
异 。 这 个 简单 的 oracle 数据 库 可 简化 查找 假设 自动 机 中 每 个 状态 现在 和 之 后 的 差 
异 。 由 于 在 实际 中 通常 不 可 能 实现 等 价 oracle 数据 库 (参见 第 11 章 ) LearnLib 
可 提供 一 组 不 同 的 近似 集合 。 一 个 简单 扩展 到 “预先 一 步 ” 版 本 可 利用 基本 输 
入 符号 队列 来 增加 输入 字母 表 ， 正 如 图 8.5 中 的 OCS 所 示 。 直 接 增加 这 个 字母 
表 会 导致 产生 图 8.7 中 所 示 的 细 化 五 状态 模型 。 例 如 ， 这 种 由 3 个 组 合 字母 符号 
造成 的 稍微 预先 扩展 足以 对 等 价 查询 进行 简单 近似 来 检测 假设 中 的 一 旦 注销 就 无 
法 提交 论文 ， 甚 至 在 重新 登录 后 又 可 以 提交 论文 。 
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8.5.3 节 曾 述 了 如 何 增 强 学 习 以 获 得 真正 的 实际 行为 模型 。 事 实 上 ， 利 用 Leam- 
Lib, 已 经 能 够 学 习 具 有 上 万 个 状态 的 模型 1。 在 实际 应 用 中 ， 一 个 主要 的 障碍 是 如 
何 实现 一 个 足够 等 价 的 oracle 数据 库 ， 即 能 够 快速 检测 判别 运行 的 oracle!) 。 实 际 
上 ， 在 此 人 工 指导 可 能 更 易于 处 理 。 这 是 由 可 执行 假设 模型 的 SLG 所 支持 : 即 对 于 
和 矩形 SIB 是 自动 执行 的 ， 且 每 当 执行 一 个 〈 圆 形 ) 状态 SIB， 都 会 弹出 一 个 对 话 框 ， 
为 用 户 提供 下 一 个 输入 符号 的 选择 ， 由 此 可 人 允许 用 户 引导 搜索 判别 运行 。 
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提交 论文 
创建 新 会 议 are 


中 止 提交 
图 8.7 具有 符号 序列 的 Mesly 学 习 状 态 机 (图 8.5) 


更 复杂 的 是 一 个 基于 模型 校 验 的 搜索 判别 运行 的 可 能 性 。 由 于 SLC 可 以 很 
容易 地 进行 模型 检查 ， 因 此 可 制定 假设 对 0CS 成 立 的 时 态 公式 。 如 果 该 公式 对 
假设 模型 不 成 立 ， 则 可 作为 在 OCS 上 进行 测试 的 一 个 具体 候选 。 如 果 测试 成 功 ， 
则 可 以 确定 一 个 判别 运行 。 事实 上 ， 通 过 一 个 表明 在 中 止 提交 阶段 之 前 总 是 可 以 
最 终 提交 论文 的 公式 ， 可 实现 将 图 8.6 中 的 模型 细 化 为 图 8.7 中 的 模型 。 


144 工业 关键 系统 的 形式 化 方法 : 应 用 综述 





8.5.3 ”便于 领域 知识 的 自动 机 学 习 


学 习 需 要 在 所 要 学 习 的 系统 上 进行 大 量 测试 执行 。 即 使 没有 进行 任何 假设 和 
实际 系统 一 致 性 检查 的 测试 ， 也 需要 至 少 fn” 次 测试 运行 (在 学 习 相 关 文 献 中 称 为 
“会 员 查 询 ") HP n 为 状态 个 数 , 上 为 输入 个 数 。 一 个 具有 30 个 状态 和 12 个 输 
人 的 模型 需要 大 于 10000 次 的 测试 。 在 一 个 只 对 执行 某 一 查询 进行 相关 局 部 计算 的 
模拟 环境 或 场景 中 ， 这 是 毫 无 问题 的 。 但 对 于 像 0CS 这 样 的 系统 ， 则 无 法 进行 这 
种 大 量 的 查询 。 用 于 学 习 OCS 的 测试 驱动 程序 可 触发 一 个 类 似 于 生产 环境 中 设置 
的 实际 系统 安装 。 通 过 远程 方法 调用 (RM) 在 网 络 中 发 送 查 询 请 求 。 在 该 过 程 
中 ， 应 对 每 个 参数 和 每 个 返回 值 进行 序列 化 和 反 序 列 化 。 这 将 导致 每 个 符号 的 执行 时 
间 多 达 数 秒 。 因 此 ， 表 明 通 常 可 包含 上 万 个 测试 案例 的 学 习 是 一 种 长 期 持久 的 活动 。 

在 文献 [14, 15, 31] F, 在 第 11 章 中 介绍 的 领域 知识 基础 上 ， 引 入 滤波 器 来 
减少 所 需 测试 案例 的 个 数 。 对 于 0CS， 构 建 了 在 图 8.8 中 显示 的 设置 过 程 ， 其 中 ， 实 
际 的 测试 执行 是 在 5 个 滤波 器 条 件 下 进行 的 。 一 个 滤波 器 可 对 一 个 输入 查询 进行 评 
估 。 如 果 能 够 在 无 需 执 行 新 测试 条 件 下 应 答 整 个 查询 ， 则 可 返回 该 响应 并 避免 元 余 的 
实验 工作 。 例 如 ， 某 些 滤波 器 可 修改 查询 ， 只 将 前 缀 传递 到 下 一 滤波 器 ， 并 利用 增加 
后 级 的 领域 知识 来 返回 一 个 级 联 响应 。 滤 波 器 的 顺序 可 能 会 使 得 输出 结果 发 生 显著 变 
化 。 一 个 滤波 器 还 可 代表 对 下 一 滤波 器 无 修改 的 一 个 查询 。 下 面 的 罗列 描述 了 图 
8. 8 中 介绍 的 滤波 器 ， o em 





图 8.8 对 于 OCS 的 过 滤器 学 习 设置 


缓存 。 学 习 算 法 在 某 一 时 刻 产 生 元 余 查 询 。 特 别 是 在 处 理 反例 期 间 。 缓 存 滤 
波 器 可 维持 所 有 的 计算 结果 和 直接 复制 的 响应 。 

月 制 。 限 制 滤波 器 用 于 限制 在 一 次 测试 中 一 个 符号 出 现 的 次 数 。 例 如 ， 若 滤 
波 器 设 为 1 而 符号 出 现 两 次 ， 则 滤波 器 丢弃 该 符号 的 后 缀 并 生成 输出 符号 error, 

条 件 。 条 件 滤波 器 可 截断 作为 前 置 条 件 失去 必要 符号 或 禁止 前 个 符号 的 字 节 
后 级 ， 并 对 剩余 后 缀 返回 输出 符号 error, 

MWR. OCS 采用 一 个 事务 管理 器 。 如 果 发 生 错 误 ， 则 活动 事务 在 不 改变 
系统 状态 下 重新 运行 。 这 个 前 缀 闭 包 滤波 器 便于 实现 该 性 能 并 可 截断 失败 查询 的 
后 级 ， 然 后 返回 输出 符号 error, 

重 历 。 重 用 滤波 器 通过 重用 现 有 的 会 议 服务 来 省 去 重 置 和 符号 执行 。 如 果 要 
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求 一 个 测试 的 前 级 ， 则 重用 滤波 器 将 会 执行 相应 会 议 服务 的 后 绥 并 返回 已 经 执行 
前 级 和 刚 执行 后 缀 的 级 联 输出 符号 。 , 
图 8. 9 描述 了 图 8. 10 中 所 示 关 于 具有 部 分 转换 函数 的 确定 性 自动 机 的 相应 


ISU - ik "提交 ”和 "上传 ” 


IBA - Pik’ 分 派 ” 和 "指定 
IR - 中止" 评阅 
















AP - 录用 
SRR - 提交 评阅 人 报告 
SMR - 提交 主要 /整理 报告 





AR - 指定 评阅 人 
UAR - 未 指定 评阅 人 





图 8.9 具有 12 个 字母 符号 的 OCS 行为 模型 
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图 8.10 12 个 符号 的 字母 表 (认证 已 集成 到 字母 符号 中 ) 


字母 表 学 习 模型 ， 其 中 ， 接 受 所 有 状态 且 缩 写 输入 符号 〈 但 仍然 是 唯一 标识 
的 )。 由 于 自动 机 为 前 级 闭 包 且 消除 所 有 错误 分 支 后 只 拥有 一 个 输出 符号 ， 因 此 
这 种 表示 形式 是 可 能 的 。 该 模型 经 过 1h58min 的 学 习 具 有 29 个 状态 和 107 个 迁 
移 。 图 8. 11 和 图 8. 12 表明 了 不 同 滤波 器 的 效果 。 简 而 言 之 ,该 Lw 算法 采用 了 
31 971 个 查询 和 432 558 个 符号 。 应 用 滤波 器 可 将 测试 次 数 减 少 到 1518 x, H 
只 有 8418 个 符号 在 被 测 系 统 (SUT) 下 执行 。 这 意味 着 滤波 器 抑制 了 95.25% 的 
查询 和 98. 05% 的 符号 处 理 。 

在 学 习 该 模型 时 ， 检 测 到 系统 中 一 个 避免 传统 测试 工作 的 缺陷 ， 即 在 论文 提 
交 之 前 中 止 论 文 提交 和 上 传 阶 段 可 立即 导致 达到 最 终 状 态 ， 正 如 图 8.9 中 突出 显 
示 的 错误 轨迹 。 在 OCS 实现 的 具体 层面 ,该 错误 对 应 于 上 述 中 止 后 的 一 个 死 锁 
状态 。 由 模型 终止 下 的 状态 所 确定 的 该 死 锁 是 由 于 在 两 种 情况 下 只 能 继续 执行 空 
Fi. Al, RÆ Nerode 等 效 的 。 

与 此 同时 ， 学 习 模型 仍 是 不 正确 的 ， 这 是 因为 近似 等 效 的 oracle 数据 库 
太 小 而 无 法 体现 所 有 可 观测 状态 。 例 如 ， 突 出 显示 的 在 状态 2、11、16、 
23, 28 下 接受 和 拒绝 一 篇 论文 的 自 反 边 应 导致 产生 新 的 状态 ， 这 类 似 于 状 
态 1 和 4 的 情况 。 目 前 ， 正 在 改进 近似 等 效 oracle 数据 库 以 实现 该 问题 的 自 
动 求解 。 
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图 8.11 滤波 统计 (会 员 查 询 ) 
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图 8.12 滤波 统计 (符号 ) 


8.6 ”相关 工作 


采用 自动 机 学 习 的 方法 来 弥补 局 部 特征 模型 之 间 及 其 在 具有 复杂 先进 通信 和 和 
同步 设备 的 企业 平台 上 的 组 合 应 急行 为 之 间 的 差异 是 一 种 全 新 的 方法 ， 且 据 人 们 
所 知 ， 目 前 还 没有 有 关 该 技术 类 似 应 用 的 文献 。 
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但 是 ,在 以 下 3 个 方面 还 是 具有 一 些 相关 工作 的 : 验证 基于 特征 的 系统 ; 
@ 验 证 在 线 会 议 系 统 ; @ 验 证 一 般 政策 。 


8.6.1 基于 特征 的 系统 


基于 特征 的 系统 在 通信 和 领域 已 具有 很 长 的 研究 历史 ， 自 从 20 世纪 80 FRR 
已 在 全 球 范 围 内 得 到 成 功 应 用 。 这 些 系统 可 看 作 更 具 现代 化 概念 的 生产 线 的 前 
身 ， 实 现 这 类 系统 仍 具有 最 大 挑战 性 、 普 适 性 和 大 规模 性 。 在 传统 的 电话 服务 设 
置 中 ， 这 些 功 能 可 看 作 一 种 基本 电话 服务 的 调节 器 。 通 常 ， 这 些 功 能 是 顺序 
执行 的 ， 在 所 谓 的 菊花 链 执行 模型 或 顺序 执行 模型 中 每 个 功能 都 远离 又 回归 基本 
服务 “| 。 在 基于 web 的 应 用 中 ， 基 本 系统 和 功能 之 间 的 比例 更 为 悬殊 : 基于 
web 的 应 用 程序 具有 一 个 最 少 的 骨干 服务 上 且 几乎 完全 由 功能 构成 。 这 种 基于 特征 
的 系统 的 建 模 和 验证 已 进行 了 相当 长 时 间 的 深入 研究 : 例如 ， 在 文献 [3, 26] 
中 提出 了 一 种 先进 的 组 合 模型 校 验 技术 来 有 效 规范 基于 特征 的 系统 的 性 能 。 其 目 
标 是 能 够 对 功能 和 需求 进行 划分 ， 并 在 校 验 时 实现 自动 性 能 组 合 。 为 考虑 服务 所 
需 的 复杂 演化 及 其 灵活 适应 性 ， 对 于 最 初 的 OCS 和 在 此 介绍 的 新 型 0CS， 人 允许 
一 种 特征 的 多 层次 组 织 结构 ， 即 在 其 他 更 基本 的 可 用 功能 上 建立 特定 特征 。 为 保 
证 这 种 结构 可 控 以 及 所 产生 的 行为 易于 理解 ， 在 此 仅 限 于 确保 可 增加 行为 的 单一 
功能 。 通 过 其 他 背景 下 的 特征 〈 如 文献 [11] 中 基于 特征 的 设计 ) 和 类 似 于 面 
向 方面 的 设计 "的 中 的 特征 实现 的 限制 行为 在 本 设置 中 以 一 种 正 交 方 式 实现 ， 即 
通过 需求 层 的 约束 。 通 过 机 制 考虑 (如 文献 [11] 中 具有 由 面向 对 象 设计 重新 
编写 产生 的 明确 影响 ) 的 特征 来 重新 定义 行为 ， 在 本 设置 中 是 不 允许 的 。 由 于 
试图 定义 和 分 析 重 新 定义 特征 之 间 的 相互 作用 已 证 明 是 非常 难以 处 理 允许 修改 和 
抑制 的 特征 模型 ， 因 此 ， 这 是 一 种 很 明确 的 设计 选择 。 同 时 ， 由 于 希望 行为 尽 可 
能 地 组 合 ， 且 组 合 形式 尽 可 能 直观 和 清晰 ， 在 此 应 尽量 避免 任何 可 能 导致 影响 透 
明度 并 产生 不 一 致 或 意外 干扰 的 建 模 特点 。 

与 文献 [5] 相 比 ， 在 此 是 从 特征 的 合法 利用 中 来 区 别 特征 行为 的 描述 。 实 
际 上 ， 行 为 的 限制 是 表现 在 不 同 层面 上 的 ， 即 在 需求 层 (通过 时 态 逻辑 约束 )， 
并 是 希望 能 够 利用 形式 化 验证 方法 自动 校 验 的 面向 方面 的 性 能 描述 中 的 一 部 分 。 
在 8. 4 节 中 所 述 的 所 有 性 能 都 是 以 这 种 逻辑 表示 的 需求 ， 同 时 这 些 性 能 也 是 在 文 
RR [1] 中 确定 的 作为 计算 机 支持 的 协同 工作 平台 特点 的 安全 性 和 一 致 性 的 需求 
实例 。 这 些 实例 是 基于 角色 的 访问 控制 (RBAC) 模型 中 的 具体 实例 。 能 够 
通过 模型 校 验 来 自动 验证 上 述 性 能 是 jABC 的 一 个 显著 优势 ， 这 对 于 确保 所 构建 
的 这 类 应 用 程序 的 安全 性 是 十 分 必要 的 。 


8.6.2 在 线 会 议 系统 
关于 在 线 会 议 系统 ， 考 虑 到 许多 直接 来 自 于 计算 机 科学 家 团体 ， 且 这 些 是 团 
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体 甚至 作者 自己 提出 的 验证 方法 设计 在 应 用 和 检验 方面 的 一 个 良好 领域 ， 但 令 人 
惊讶 的 是 ， 很 少 在 科学 会 议 上 发 表 有 关 这 些 工具 的 论文 。 在 Cyberchair ^ 和 Con- 
tinue 发 表 有 早期 的 论文 ， 但 很 少 有 如 何 对 这 些 系统 进行 验证 的 具体 信息 。 毕 
竟 ， 此 类 提交 系统 应 包含 整个 团体 尚未 发 表 的 知识 产权 ， 因 此 有 理由 期 待 团队 获 
悉 如 何 保护 知识 产权 的 极 大 兴趣 。 

关于 验证 ，Continue 已 作为 大 量 关 于 建 模 和 验证 方面 论文 的 案例 分 
析 "2 2 。 其 关心 的 是 利用 抽象 状态 机 来 建 模 动态 策略 ” ， 确 保 浏 览 器 的 导航 不 
会 破坏 实施 限制 访问 的 政策 和 对 于 政策 验证 Margrave 的 模型 校 验 " 。 在 这 
项 工作 中 考虑 的 动态 方面 只 是 每 个 角色 面向 阶段 的 正常 权利 切换 ， 这 作为 SLC 
( 见 图 8. 2) 很 好 地 采集 ， 而 无 需 依靠 任何 额外 的 和 更 多 的 形式 化 技术 。 在 一 些 
论文 中 已 介绍 了 OCS 的 形式 化 验证 ”* ， 尤 其 是 角色 和 权利 的 处 理 以 及 与 其 他 
策略 描述 语言 的 对 比 。 


8.6.3 政策 


通过 复杂 在 线 服务 访问 敏感 数据 需要 一 个 适当 机 制 来 定义 、 验 证 ， 并 制定 确 
保 服务 信任 度 的 政策 "” 。 在 文献 [23] 中 ,介绍 和 比较 了 基于 XML 的 描述 语言 
XACML!” ARA HARA WS- Policy ^! LA fe OCS 中 采用 的 用 于 对 访问 控制 建 
模 的 基于 图 的 方法 。 从 变更 管理 和 演化 的 角度 ， 需 要 一 个 结构 化 且 灵 活 的 政策 模 
型 来 处 理 动态 性 ， 特 别 是 在 许多 用 户 具 有 不 同 角色 的 系统 中 处 理 权 利 。 虽 然 
XACML 和 WS- Policy 足以 描述 局 部 的 角色 /权利 模型 ， 以 及 充分 表示 静态 策略 ， 
但 对 于 0CS， 需 要 表示 面向 过 程 的 政策 : 将 局 部 政策 嵌入 在 一 个 时 态 组 件 中 ， 且 
在 线性 时 间 时 态 逻辑 或 本 例 中 的 分 支 时 态 逻辑 中 。 这 是 通过 基于 jABC 的 功能 来 
涵盖 ， 但 不 会 由 XACML 或 WS- Policy 涵盖 ， 这 是 一 个 纯粹 命题 。 此 外 ， 通 过 模 
型 校 验 的 政策 约束 的 基于 模型 的 验证 是 非常 重要 的 ， 以 保证 服务 控制 机 制 的 可 靠 
性 。 这 使 得 连续 一 致 性 检查 沿 着 增 量 改进 和 在 服务 的 整个 生命 周期 中 演化 ， 这 种 
方式 充分 支持 服务 与 其 策略 集 之 间 的 配 准 。 目 前 ， 这 是 在 jABC 中 提供 的 ， 而 在 
XACML 和 WS- Policy 中 尚未 提供 ， 因 此 这 仍然 无 法 满足 需要 。 


8.7 小 结 和 展望 


在 此 ， 引 入 一 种 新 的 混合 建 模 方法 ， 旨 在 克服 直观 的 用 户 级 建 模 和 在 企业 环 
境 中 运行 复杂 应 用 程序 之 间 的 差距 。 本 方法 的 前 置 条 件 是 对 基本 的 业务 实体 
《如 OCS 中 的 会 议 、 论 文 和 其 他 业务 对 象 ) 按照 控制 流 的 类 似 图 的 结构 进行 建 
模 。 这 些 结构 表明 了 业务 实体 在 整个 评估 过 程 中 的 逐步 演化 ， 其 中 包括 明确 表示 
每 个 状态 下 系统 提供 的 其 他 行为 的 状态 嵌入 式 ECA 规则 ， 并 有 助 于 将 这 些 “ 局 
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部 ”模型 半自动 地 整合 到 一 个 全 局 系统 中 。 全 局 系统 通过 复杂 的 通信 和 同步 原 
语 (如 事件 处 理 和 过 程 创 建 ) 在 企业 平台 上 运行 。 由 此 ， 各 种 业务 实体 的 个 体 
模型 可 通过 模型 校 验 的 技术 来 验证 ， 但 由 于 没有 相应 的 全 局 模型 ， 因 此 无 法 验证 
全 局 系统 。 现 已 表明 如 何 利 用 自动 机 学 习 通 过 指导 性 实验 从 实际 实现 中 推导 全 局 
行为 模型 来 克服 该 缺点 ， 从 而 可 支持 在 系统 层面 上 的 检验 和 验证 。 整 个 开发 都 与 
增 量 式 形式 化 "和 连续 模型 驱动 工程 “的 原则 保持 一 致 ， 在 此 ， 主 张 通过 形式 
化 方法 支持 设计 渐进 却 一 致 的 形式 ， 这 不 仅 应 用 于 最 初 的 设计 ， 而 且 贯 穿 于 系统 
的 整个 生命 周期 和 演化 。 

OCS 涵盖 了 许多 不 同 的 应 用 领域 。 目 前 应 用 于 会 议 、 期 刊 和 其 他 形式 的 提 
交 和 评阅 过 程 ， 但 可 以 很 容易 地 定制 以 支持 其 他 基于 委员 会 的 分 布 式 决策 支持 实 
例 。 支 持 所 有 形式 需求 的 复杂 性 都 可 通过 在 建 模 层面 上 引入 生产 线 来 处 理 。 所 有 
会 议 、 期 刊 或 其 他 服务 可 共存 于 一 个 OCS 实例 中 。 这 样 ， 资 源 得 以 保存 ， 且 所 
有 服务 都 取决 于 一 个 一 致 的 用 户 数据 库 。 

到 目前 为 止 ， 仅 学 习 了 OCS 的 一 小 部 分 。 下 一 目标 是 学 习 更 大 的 部 分 ， 这 
需要 在 以 下 方面 进行 研究 : 

e 增加 所 者 虑 行为 的 字母 表 ; 
e 优化 学 习 过 程 : 
e 进一步 利用 可 用 领域 知识 通过 滤波 器 减少 真正 执行 的 会 员 查 询 ， 
e 建立 行为 模型 的 视图 ， 以 侧重 于 模型 的 特定 问题 ， 
e 详细 说 明 学 习 过 程 的 抽象 程度 ， 从 而 得 到 一 个 合理 的 模型 (如 限制 一 

会 议 上 的 论文 数 或 一 篇 论文 的 评阅 人 数 )。 

幸运 的 是 ， 随 着 LearnLib 的 发 展 ， 所 提出 的 学 习 框 架 确实 在 这 些 方面 逐步 完 
善 。 因 此 有 信心 能 够 很 快 展现 这 些 改进 所 产生 的 影响 ， 通 过 提供 OCS 中 全 局 行 
为 的 表示 模型 ， 其 中 包括 因果 关系 和 政策 、 安 全 方面 ， 以 及 进步 属性 。 
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9.1 简介 


本 章 介绍 了 一 种 应 用 于 系统 设计 阶段 工业 软件 系统 的 建 模 和 分 析 通 用 方法 ， 
也 就 是 说 ， 在 系统 实现 之 前 ， 利 用 (随机 ) 模型 校 验 的 方法 。 

在 形式 化 建 模 和 验证 领域 中 的 一 个 难点 在 于 由 于 如 相互 交叉 活动 ， 会 造成 精 
细 化 模型 往往 产生 巨大 的 状态 空间 问题 。 为 此 ， 本 书 所 提 方 法 具有 某 种 不 同性 
质 。 具 体 是 开发 和 研究 旨 在 解决 具体 问题 的 相当 有 限 且 抽象 的 形式 化 模型 ， 并 利 
用 这 些 模 型 来 验证 可 从 易于 用 户 理解 的 角度 来 观测 系统 模型 各 个 方面 相互 依赖 关 
系 及 其 对 系统 性 能 影响 的 性 能 。 这 种 采用 模型 校 验 的 方式 得 到 了 类 似 于 原型 建 模 
技术 的 支持 。 重 点 是 以 一 种 相对 快捷 的 方式 来 获得 一 种 形式 化 或 某 种 程度 上 近似 
的 对 现 有 系统 〈 设 计 ) 增加 特定 功能 (定性 和 定量 ) 的 结果 的 理解 。 这 与 传统 
的 将 模型 校 验 看 作 一 种 最 大 程度 上 保证 复杂 分 布 式 算法 正确 性 的 已 发 展 相当 成 熟 
的 技术 完全 不 同 。 从 这 个 意义 上 来 讲 ， 本 书 所 提出 的 模型 校 验方 法 有 点 类 似 于 极 
限 编程 的 思想 “”， 即 生成 增加 到 系统 (设计 ) 中 的 简单 ad hoc 模型 的 新 功能 。 
经 与 工业 伙伴 thinks 的 密切 合作 ， 采 用 本 方法 来 建 模 和 分 析 其 产品 数据 管理 
(PDM) 系统 thinktem 的 扩展 。 从 而 ， 通 过 本 方法 隐 式 形成 一 种 动手 实践 的 经 验 
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来 阐明 应 用 (随机 ) 模型 校 验 在 工业 中 软件 系统 用 户 方面 分 析 的 发 展 潜力 及 其 
目前 局 限 性 。 在 工业 中 引入 这 种 技术 所 面临 的 挑战 是 到 目前 为 止 模型 校 验 尚 不 属 
于 软件 工程 实践 中 的 一 部 分 。 

产品 生命 周期 管理 (PLM) 是 指 以 一 种 最 有 效 方式 对 公司 产品 从 概念 、 设 
计 、 制 造 到 销售 和 售后 服务 的 整个 生命 周期 的 管理 活动 5 。think3 的 PLM 是 一 
种 建立 在 thinkteam 基础 上 的 一 套 PLM 综合 应 用 程序 ， 该 think3 的 PLM 应 用 程序 
正好 迎合 了 制造 工业 中 对 产品 设计 过 程 的 文档 管理 需求 。thinkteam 使 得 企业 能 
够 以 一 种 有 效 方式 来 收集 、 组 织 、 自 动 处 理 和 共享 工程 信息 。 研 究 中 所 进行 的 
thinkteam 设置 中 包含 了 所 有 与 集中 式 关系 数据 库 管 理 系统 (RDBMS) 交互 的 多 
个 用 户 。RDBMS 系统 控制 着 不 允许 执行 文件 编辑 的 称 为 库 文 件 的 类 似 文 件 系 统 
知识 库 中 的 数据 (类 似 于 CAD 文件 ) 储存 和 检索 。 设 计 人 员 所 采用 的 文件 访问 
机 制 基于 一 种 重复 访问 策略 ， 即 没有 处 理 用 户 请 求 编辑 文件 权限 的 队列 〈 或 预 
订 系 统 ) 。 

在 以 前 的 工作 中 “1， 主 要 集中 于 利用 定性 模型 校 验 来 验证 包含 基于 发 布 / 
订阅 模式 的 用 户 通 知 系统 的 thinkteam 性 能 。 在 此 ,分 析 了 一 些 解 决 并 发 控制 、 
准确 性 、 可 用 性 和 用 户 认 知 的 定性 正确 性 。 该 研究 使 得 在 thinkteam 中 具有 通知 
机 制 ， 然 而 一 些 对 系统 性 能 比 对 功能 行为 影响 更 大 的 可 用 性 问题 不 能 只 利用 定性 
模型 校 验 进 行 分 析 。 在 文献 [6, 7] 中 提出 过 类 似 问 题 : 表明 由 于 其 他 竞争 用 
户 可 更 “幸运 ”地 获得 相同 文档 ， 则 直接 将 该 用 户 排 除 。 事 实 上 ， 这 种 行为 可 
由 用 户 只 能 采用 一 种 基于 重复 的 文件 访问 机 制 来 进行 解释 。 用 户 满意 度 取决 于 定 
性 和 定量 两 个 方面 。 比 如 ， 频 繁 的 重 试 可 能 会 使 用 户 很 泪 形 ， 所 以 应 该 避免 发 生 
这 种 情况 。 

定性 模型 校 验 分 析 会 产生 一 个 问题 ， 但 不 会 量化 其 对 可 用 性 的 影响 。 在 上 述 
情况 中 ,在 获得 文件 之 前 用 户 所 需 进 行 的 重 试 次 数 是 一 种 重要 的 可 用 性 测量 。 如 
果 次 数 过 多 ， 就 应 考虑 采用 等 待机 制 而 不 是 简单 地 继续 使 用 重 试 机 制 。 通 过 随机 
模型 校 验 对 文献 [8] 中 的 设计 选择 进行 了 权衡 分 析 ， 一 种 扩展 的 定性 模型 校 验 
方法 可 允许 对 系统 性 能 进行 定性 分 析 以 及 与 性 能 和 可 靠 性 相关 的 分 析 (BE E 
Sy) PP 。 

一 个 基于 模型 的 方法 的 问题 是 可 扩展 性 ， 即 如 何 处 理 通过 对 具有 大 量 异 步 操 
作客 户 的 交叉 活动 进行 建 模 所 产生 的 状态 爆炸 问题 。 在 文献 [13] 中 ， 研 究 了 
一 种 最 近 提 出 的 基于 模型 的 可 扩展 技术 ， 即 流体 流动 分 析 '“]。 该 技术 可 支持 对 
具有 通过 同步 形式 协调 的 自发 行为 的 多 个 重复 实体 进行 分 析 。 这 是 在 进程 代数 方 
程 基础 上 建立 的 ， 并 对 行为 分 析 技术 增加 了 定性 分 析 。 从 形式 化 来 讲 ， 该 技术 包 
括 一 组 通过 利用 性 能 评估 进程 代数 (PEPA) 5 定义 的 规范 来 自动 衍生 的 常 微分 
方程 (ODE), 。 通 过 标准 数值 方法 求解 的 这 组 常 微分 方程 的 解 有 助 于 了 解 特殊 状 
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态 下 组 件 聚 合 随时 间 的 动态 变化 。 该 方法 是 从 个 体 组 件 中 抽象 而 得 的 。PEPA W 
试 平台 可 支持 从 PEPA 规范 中 推导 常 微分 方程 组 、 常 微分 方程 组 的 求解 算法 以 及 
数值 解 的 产生 … 。 

最 后 ， 在 文献 [17] 中 ， 采 用 定量 和 定性 的 模型 校 验 来 评估 thinkteam， 并 
提出 3 种 扩展 来 用 于 该 工业 协作 系统 的 设计 。 本 章 中 ,介绍 了 上 述 实验 所 用 方法 
的 通用 方法 。 为 详细 阐述 该 方法 ， 重 新 介绍 了 文献 [17] 中 所 提供 的 一 种 分 析 
方法 ， 即 采用 随机 模型 校 验 来 验证 具有 多 个 重复 库 的 扩展 。 这 种 验证 是 为 了 量化 
设计 人 员 在 存在 多 个 重复 库 时 下 载 / 上 传 和 重 试 所 浪费 的 时 间 (并 未 记录 )。 为 
此 ， 将 采用 与 文献 [17] 中 相同 结构 的 随机 模型 ， 只 是 参数 不 同 。 更 具体 而 言 ， 
就 是 采用 对 think3 的 一 个 客户 实际 使 用 thinkteam 的 日 志文 件 进行 分 析 而 得 到 的 
实际 参数 。 通 过 利用 统计 软件 包 SPSS ”进行 分 析 。 由 于 参数 是 从 真实 数据 中 获 
得 的 ， 因 此 本 章 提 出 了 一 种 对 文献 [17] 中 编辑 和 下 载 / 上 传 时 间 更 具 通 用 假设 
的 改进 方法 。 由 此 ， 此 处 的 贡献 表明 了 模型 校 验 对 于 探索 性 的 设计 阶段 具有 重要 
作用 ， 不 仅 可 以 对 不 同 设计 方案 进行 对 比 ， 同 时 也 对 所 提 扩 展 方法 的 描述 进行 了 
完善 和 改进 。 

本 章 首 先 在 9.2 节 中 对 thinkteam 进行 了 详细 介绍 ， 并 在 9.3 节 中 对 日 志文 
件 进行 了 详细 分 析 。 在 9.4 节 中 ， 主 要 介绍 了 所 提出 的 thinkteam 扩展 及 其 随机 
模型 ， 然 后 对 相关 正确 性 和 性 能 特性 进行 了 形式 化 和 验证 ， 同 时 对 输出 结果 进行 
了 解释 。9. 5 节 中 包括 了 通过 该 工业 案例 分 析 所 得 到 的 经 验 教训 。 最 后 ， 在 9. 6 
中 进行 了 小 绪 。 


9.2 thinkteam 


本 节 对 think3 的 PDM 应 用 程序 thinkteam 进行 概述 ， 详 细 内 容 请 参见 网 址 : 
http: //www. think3. com, 

设计 过 程 中 可 产生 和 消化 文档 性 信息 (例如 CAD 图 、 模 型 和 手册 ) 和 非 文 
档 性 信息 (材料 账单 、 报 告 以 及 工作 流 记录 ) 。 这 些 信 息 的 组 合 最 终 激活 了 生产 
实际 对 象 的 过 程 。 信 息 管理 不 善 往往 能 够 直接 影响 产品 生产 阶段 的 成 本 结构 。 所 
以 设计 工作 室 的 一 个 很 重要 的 工作 就 是 维护 和 更 新 之 前 发 布 的 项 目 ， 即 必须 要 从 
历史 的 角度 来 看 过 去 的 信息 。 这 是 PDM 应 用 程序 发 挥 作用 的 所 在 。 


9.2.1 技术 特点 


thinkteam 是 一 个 在 Wintel 平台 上 运行 的 3 层 数据 管理 系统 。 一 种 典型 的 安 
装 形式 是 桌面 客户 端 与 一 个 集中 式 RDBMS 服务 器 以 及 一 个 或 多 个 文件 服务 器 相 
互 作用 的 网 络 。 在 这 种 设置 情况 下 ， 每 个 客户 端 节点 上 的 组 件 都 可 支持 图 形 化 界 
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面 、 元 数据 管理 和 集成 服务 。 在 RDBMS 和 文件 服务 器 的 基础 上 建 模 可 实现 持续 
性 服务 。 接 下 来 ， 简 要 概述 与 本 章 相 关 的 thinkteam (B) 子 系统 的 操作 。 
9.2.1.1 元 数据 管理 

thinkteam 人 允许 用 户 管理 具体 实体 〈 如 文档 和 组 件 ) 的 模型 表示 。 利 用 由 终 
端 用 户 自 定 义 的 对 象 模型 或 元 对 象 模 型 来 描述 这 些 表示 (通常 称 为 业务 项 目 或 
业务 对 象 ) ， 例 如 ， 通 过 改变 属于 不 同类 型 对 象 的 属性 或 增加 对 象 类 型 。 元 数据 
管理 是 指 在 thinkteam 中 实现 的 对 象 实例 的 具体 操作 及 其 所 遵循 的 规则 。 典 型 操 
作为 创建 、 属 性 编辑 (如 增加 /改变 描述 、 价 格 )、 修 订 、 改 变 状 态 、 与 其 他 对 
象 连 接 和 删除 。thinkteam 利用 RDBMS 来 保持 和 检索 对 象 模 型 和 在 操作 过 程 中 创 
建 的 对 象 。RDBMS 的 交互 本 质 上 非常 简单 ， 且 对 终端 用 户 完 全 可 见 。 
9.2.1.2 仓库 

在 PDM 应 用 程序 中 文档 数据 的 受 控 存储 区 和 检索 一 般 称 为 仓库 ， 库 是 一 个 
类 似 文件 系统 的 资源 库 。 库 的 两 大 主要 功能 是 四 提供 一 个 PDM 应 用 程序 控制 的 
文档 所 管理 的 独立 、 安 全 的 受 控 存 储 环 境 ; @ 防 止 文档 库 的 不 一 致 更 新 或 改变 ， 
而 仍然 允许 符合 业务 规则 的 最 大 程度 访问 。 第 1 个 功能 受到 库 系 统 底层 实现 的 影 
响 ， 而 第 2 个 功能 是 在 用 户 可 用 的 一 组 thinkteam 操作 (〈 见 表 9.1 中 所 列 ) 协议 
下 实现 的 。 

表 9.1 thinkteam 用 户 操作 





操 — dE 结 R 
get 从 库 中 抽取 一 份 文档 的 只 读 备份 

import 将 一 份 外 部 文档 插入 库 

checkOut 从 库 中 抽取 一 份 文档 的 备份 (排他 性 ) 
unCheckOut 取消 上 次 checkOut 的 结果 

checkIn 替换 库 中 的 一 份 编辑 (之 前 可 checked out) 文档 
checkInOut 替换 库 中 的 一 份 编辑 文档 〈 重 新 获得 编辑 权限 ) 


值得 注意 的 是 ,文档 访问 (通过 checkOut) 基于 一 种 重 试 策略 ， 即 没有 处 
理 文档 编辑 权限 请 求 的 队列 系统 和 预订 系统 。 


9.2.2 thinkteam 的 工作 过 程 


thinkteam 可 在 一 个 给 定 项 目的 整个 产业 化 部 分 的 各 个 设计 阶段 支持 CAD 设 
计 人 员 。 接 下 来 简要 介绍 在 建 模 阶段 CAD 设计 人 员 最 常用 的 库 功 能 。 
9.2.2.1 几何 信息 检索 

在 制造 业 中 (thinkteam 的 首要 目标 ) 最 常用 的 设计 工作 涉及 更 复杂 产品 的 
组 件 生 产 。 描 述 这 些 产 品 的 CAD 图 称 为 装配 ， 且 结构 化 为 由 多 个 〈 甚 至 上 千 
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个 ) 个 体 模型 文件 组 成 的 组 合 文档 。 大 多 数 几 何 数据 是 设计 人 员 通 过 参考 材料 
得 到 的 ， 即 实际 创建 或 修改 的 组 件 周 围 的 部 分 。 设 计 人 员 需 要 利用 这 些 参考 材料 
来 与 正在 进行 装配 的 部 分 定位 、 适 应 和 匹配 。 大 多 数 参考 组 件 都 是 受 PDM 控制 
的 生产 项 ， 其 复 件 (模型 文件 ) 存放 在 库 中 。 设 计 人 员 访 问 这 些 参 考 组 件 的 膛 
辑 操 作 get 操作 ， 该 操作 可 在 浏览 文件 时 自动 执行 。 这 是 最 常用 的 活动 类 型 ， 且 
与 下 列 所 有 其 他 活动 以 及 上 述 未 明确 提出 的 许多 其 他 活动 (如 可 视 化 、 打 印 ) 
都 相关 。 
9.2.2.2 几何 模型 修正 

对 现 有 组 件 进 行 修 正 是 设计 人 员 最 常用 的 第 2 种 操作 。 由 于 该 组 件 是 已 经 存 
在 且 受 管理 的 〈 即 存在 于 库 中 ) ， 因 此 设计 人 员 以 checkOut 操作 来 显 式 表 示 对 其 
修改 以 防止 其 他 用 户 试图 修改 〈 独 占 锁 ) 。 在 发 布 其 设计 之 前 ， 设 计 人 员 必 须 通 
过 显 式 的 checkIn 操作 将 其 发 布 到 系统 中 ， 由 此 可 使 得 其 他 设计 人 员 修 改 该 模 
型 。 若 设计 人 员 在 修改 模型 时 改变 其 想法 ， 则 应 采用 unCheckOut 操作 以 使 得 解 
锁 该 模型 并 不 保存 checkOut 操作 之 后 的 任何 改变 。 最 后 ， 设 计 人 员 采 用 checkl- 
nOut 操作 来 将 模型 的 中 间 版 本 发 布 到 库 ， 并 保持 专 有 的 修改 权限 。 
9.2.2.3 几何 模型 创建 

最 后 设计 人 员 需 创建 一 个 完整 的 新 组 件 模型 ， 并 将 其 加 入 系统 中 。 由 于 该 模 
型 最 终 是 在 系统 库 之 外 创建 的 ， 因 此 需要 执行 import 操作 来 将 其 在 thinkteam 中 
注册 。 


9.3 thinkteam 日 志文 件 分 析 


thinkteam 可 对 20 ~ 100 个 用 户 处 理 数 十 万 个 日 志文 件 。 为 获得 thinkteam 用 
户 在 特定 应 用 情况 下 产生 的 实际 数据 ，think3 可 提供 一 个 由 某 个 制造 业 2002 ~ 
2006 年 期 间 使 用 thinkteam 的 所 有 活动 (9.2.1.2 节 所 列 操作 ) 组 成 的 纯净 的 日 
志文 件 。 为 精细 整定 下 节 中 介绍 的 thinkteam 的 特定 模型 参数 ， 在 此 应 重点 关注 
以 下 以 使 用 为 核心 的 信息 : 编辑 平均 持续 时 间 、 文 件 未 用 于 编辑 的 平均 持续 时 间 
以 及 用 户 未 成 功 获得 编辑 文件 的 平均 次 数 。 本 节 对 此 进行 分 析 的 目的 是 要 了 解 编 
辑 持 续 时 间 和 文件 占用 的 时 间 问 题 。 

尽管 该 日 志文 件 已 被 清理 〈 即 去 除 与 上 述 操作 无 关 的 登录 信息 ) ， 但 为 达到 
特定 目的 ， 应 对 其 进行 进一步 “清理 ”。 由 于 数据 量 庞 大 ， 因 此 应 关注 于 所 采用 
的 特定 形式 化 以 及 以 使 用 为 中 心 的 具体 定量 信息 ， 结 果 表明 开发 专用 脚本 是 执行 
该 “清理 ”的 最 有 效 方式 (大 多 数 多 重 关 系数 据 挖掘 方法 都 需要 加 载 整个 主 存 
储 器 中 的 数据 ， 因 此 这 不 适用 于 挖掘 包含 大 量 数据 的 一 个 日 志文 件 )。 开 发 这 些 
脚本 还 有 助 于 在 发 现 日 志 中 的 一 些 违规 行为 并 自动 纠正 。 这 些 日 志 中 的 错误 主要 
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是 包括 由 具有 秒 级 精度 的 日 志 粒 度 所 造成 的 错误 操作 顺序 。 采 用 更 高 的 精度 
(如 接近 毫秒 级 ) 可 避免 纠正 这 些 错 误 顺序 。 在 此 ， 采 用 相同 的 脚本 开发 技术 来 
简化 日 志文 件 (如 滤 除 无 用 的 用 户 行为 等 )， 并 将 其 转化 为 统计 分 析 软 件 包 
SPSS/! 所 接受 的 格式 。 

对 于 每 个 操作 ， 所 生成 的 日 志文 件 中 都 包含 其 产生 时 间 (以 日 -月 -年 以 及 
小 时 - 分 钟 - 秒 的 格式 ) 、 执 行 操作 的 用 户 名 以 及 操作 所 对 应 的 库 中 文件 。 通 过 这 
种 方式 ， 日 志文 件 中 的 每 一 行 表示 对 库 的 一 个 原子 级 访问 。 虽 然 日 志文 件 的 格式 
易于 处 理 ， 但 该 日 志文 件 中 包含 有 极为 庞大 的 数据 量 (104 个 用 户 对 于 183492 
个 文件 访问 了 792618 次 ) 。 此 外 ，think3 已 经 对 不 同年 份 之 间 的 日 志 机 制 进行 了 
改进 ， 这 就 意味 着 难以 比较 不 同年 份 所 产生 的 日 志文 件 ， 且 2006 年 的 日 志 是 最 
完整 的 。 正 是 由 于 这 些 原因 ， 因 此 在 分 析 时 对 所 使 用 的 日 志文 件 限于 2006 年 。 

2006 年 的 日 志 数 据 包 括 了 83 个 用 户 合 作 产 生 的 总 共 181535 个 文件 ， 其 中 
23134 个 文件 至 少 在 2006 年 内 检查 过 一 次 。 其 他 文件 专门 作为 参考 材料 使 用 ， 
如 通过 get 操作 以 只 读 方 式 下 载 。 fo ey a eal 
节 中 所 要 分 析 模 型 直接 关联 的 数据 子 集 的 分 析 。 这 些 分 析 包 括 编辑 持续 时 间 
( 即 同一 用 户 对 某 一 文件 执行 checkOut 和 checkIn eth 和 文件 
未 锁 存 的 持续 时 间 〈 即 不 同 用 户 对 同一 文件 执行 checkIn 和 checkOut 操作 之 间 所 
需 的 时 间 ) 。 而 用 户 对 某 一 锁 存 文件 未 成 功 执行 checkOut 的 次 数 ( 即 由 其 他 用 户 
ith) 并 未 显 式 记录 ， 由 此 不 能 直接 判断 。 然 而 ， 可 通过 一 种 非 直接 的 对 研究 
期 间 修 改 同一 文件 的 用 户 数 近似 来 获得 。 为 表明 该 思想 ， 图 9. 1 中 给 出 了 一 周 内 
对 某 一 特定 文件 的 编辑 活动 。 由 图 可 知 ，4 个 用 户 在 一 周 内 对 同一 个 文件 进行 了 
20 次 编辑 。 

图 9. 2 和 图 9. 3 给 出 了 从 日 志文 件 中 去 除 无 关 操作 后 的 数据 ， 这 些 操作 类 似 
于 大 量 的 get 操作 (这 是 最 常用 的 操作 ) ， 是 通过 系统 管理 员 介入 所 产生 的 操作 
以 及 一 些 异常 的 日 志 操 作 。 经 过 平均 削减 40% 的 计算 后 通过 SPSS v15. 0 绘制 
出 这 些 图 ( 即 去 除 最 低 值 和 最 高 值 20% 的 值 后 对 剩余 值 取 平均 )。 在 统计 学 中 ， 
前 减 后 的 均值 比 数据 中 存在 野 值 的 均值 ( 即 极 值 ) 更 具有 和 鲁 棱 估计 意义 ， 因 为 
这 对 于 野 值 的 敏感 性 较 低 ， 同 时 仍 能 给 出 一 个 集中 趋势 或 均值 的 合理 估计 。 
图 9. 2 给 出 了 N =37524 次 编辑 期 间 的 分 布 直方 图 。x 轴 为 时 间 (单位 为 秒 ) M 
而 每 一 条 柱状 包含 位 于 相应 间隔 约 Smin (278s) 的 数据 集中 的 值 。 该 直方 图 显 
示 出 除去 最 低 值 20% 和 最 高 值 20% 的 所 有 编辑 时 间 ， 实 际 上 意味 着 去 除了 小 于 
llls ( 即 约 两 min) 和 大 于 22256s ( 即 约 370min) 的 编辑 。 由 此 可 看 到 ， 一 
编辑 削减 40% 后 的 平均 持续 时 间 为 2657s， 约 44min。 由 此 可 知 ， 大 多 数 编辑 往 
往 都 很 短 。 
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图 9.1 一 周 内 某 一 文件 的 checkOut 次 数 
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图 9.2 编辑 持续 时 间 


在 图 9. 3 中 ， 显 示 了 在 至 少 两 次 编辑 未 锁 存 (BITE checkOut 操作 中 可 获得 ) 
所 涉及 的 N =23634 个 所 有 文件 时 间 间 隔 的 直方 图 。 这 些 数 据 给 出 由 不 同 用 户 访 
间 库 所 花费 的 时 间 。x 轴 表 示 时 间 (单位 为 秒 ) ， 每 条 柱状 包含 了 位 于 大 于 17h 
(625000s) 的 相应 时 间 间 隔 内 数据 集中 的 值 。 大 部 分 持续 时 间 都 位 于 最 初 的 几 
个 区 间 ， 这 表明 许多 情况 下 这 些 文件 的 使 用 是 相当 集中 的 。 
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3.000 


2.000 均值 =1109559.21 
标准 方差 =1199131.411 
N=23524 





O 1,000,000 2,000,000 3,000,000 4,000,000 5,000,000 
削减 40% 后 的 均值 


图 9.3 文件 内 部 访问 时 间 


从 清理 日 志文 件 中 提取 了 一 个 编辑 持续 时 间 的 有 序列 表 。 由 于 具有 21365 个 
不 同 的 持续 时 间 ， 在 图 9.4 中 仅 显 示 了 部 分 有 序列 表 (完整 表格 应 包含 21365 
行 ) 。 然 而 ， 该 提取 列表 可 清晰 地 表明 在 这 组 编辑 持续 时 间 列 表 中 存在 野 值 。 在 
其 中 的 一 个 极 值 ， 在 不 到 1s 的 时 间 内 修改 3962 个 文件 ， 而 在 另 一 个 极 值 ， 在 大 
约 300 天 的 时 间 内 修改 了 几 个 文件 。 实 际 中 ， 极 短 时 间 的 编辑 并 不 是 对 应 于 真正 
的 用 户 编辑 ， 而 是 对 应 于 所 记录 的 系统 自动 操作 ， 且 在 日 志文 件 中 的 特点 是 
checkOut- checkIn 时 间 很 短 。 另 一 方面 ， 极 长 时 间 的 编辑 是 由 于 系统 管理 员 为 锁 
存 文件 所 导致 的 〈 如 用 户 忘记 对 文件 进行 checkIn 操作 ) 。 显 然 ， 这 两 种 极 值 情 
况 都 不 符合 典型 的 用 户 操作 ， 这 正 是 需要 进行 修剪 的 原因 。 

最 后 ， 表 9. 2 中 显示 了 在 2006 年 由 多 个 用 户 编辑 的 文件 个 数 。 对 这 些 文件 
进一步 分 析 表 明 在 同一 天 多 个 用 户 对 同一 文件 进行 编辑 非常 普遍 (LES 9.1)， 
甚至 在 同一 天 有 8 个 用 户 访问 同一 文件 。 值 得 注意 的 是 ， 日 志文 件 的 分 析 只 涵盖 
某 个 think3 的 特定 客户 所 收集 的 1 年 数据 ， 因 此 ， 这 并 不 能 完全 代表 thinkteam 
的 一 般 使 用 情况 。 然 而 ， 记 录 的 数据 是 可 实际 观察 的 ， 由 此 可 提供 一 个 think- 
team 示例 使 用 的 信息 ， 这 有 助 于 判断 建 模 结果 是 否 正 确 。 另 一 方面 ， 该 日 志文 
件 的 分 析 还 表明 有 助 于 可 用 性 问题 进一步 评估 的 数据 目前 尚未 收集 在 thinkteam 
的 日 志文 件 中 。 因 此 ， 需 继续 合作 以 开发 今后 在 日 志文 件 中 记录 更 多 数据 的 进 一 
步 工作 。 
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表 9.2 至 少 两 个 以 上 用 户 编辑 的 文件 个 数 
文件 数 | 5077 | 1407 | 301 | 79 | 24 | 22 8 6 3 1 1 1 
用 户 数 | 2 3 4 5 6 7 8 10 12 13 14 17 
9.4 具有 复制 仓库 的 thinkteam 


接 下 来 ， 在 本 章 随后 的 章节 中 将 介绍 think3 所 采用 的 最 新 thinkteam 扩展 的 
研究 成 果 ， 即 增加 多 次 复制 库 。 这 些 库 位 于 一 些 地 理 上 分 布 的 位 置 ( 见 图 9.5， 
其 中 checkIn/Out 文档 由 虚线 箭头 表示 ， 而 元 数据 操作 由 实 线 箭 头 表示 ) 。 然 而 ， 
thinkteam 很 清楚 复制 库 的 状态 以 及 所 有 文件 的 状态 ， 即 当前 是 否 有 设计 人 员 检 
查 或 用 于 修改 的 文件 。 


客户 端 A 











和 


ur osse E je 07 
Uc» 客户 端 C beste C 


图 9.5 具有 复制 库 的 thinkteam 


当 设计 人 员 在 新 的 配置 中 查询 thinkteam 时 ， 如 复制 文件 ，thinkteam 通常 会 
通过 赋值 “可 能 最 佳 ”的 库 位 置 来 响应 。 理 想 情 况 下 ， 这 是 设计 人 员 首 选 的 库 
位 置 〈 在 带宽 上 具有 最 佳 连接 ) ， 但 如 果 首 选 位 置 被 占用 或 工作 量 太 大 时 ， 会 赋 
值 一 个 次 优 位 置 。 另 一 方面 ， 如 果 thinkteam 注意 到 所 需要 文件 的 最 近 checkin 均 
是 由 同一 设计 人 员 执行 ， 则 thinkteam 将 会 提示 设计 人 员 可 以 在 桌面 上 使 用 该 文 
件 的 本 地 版 本 (从 而 可 省 去 checkOut 操作 ) 。 

如 果 设 计 人 员 已 获得 一 个 库 的 地 址 ， 则 该 设计 人 员 可 checkOut 该 文件 ， 并 
进行 编辑 ， 最 终 checkIn 该 文件 ， 然后 通过 其 首选 的 库 位 置 进行 再 一 次 循环 。 每 
次 checkin 之 后 ， 相 应 的 位 置 会 提示 thinkteam 文件 已 上 传 。 之 后 ，thinkteam 更 
新 文件 状态 ， 即 解除 文件 锁 存 ， 使 之 可 被 其 他 设计 人 员 使 用 。 这 种 通信 方式 还 可 
对 thinkteam 传输 库 位 置 的 状态 信息 。 无 论 是 需 保持 一 致 的 库 位 置 之 间 ， 还 是 图 
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9.5 中 的 库 位 置 和 thinkteam 之 间 都 不 需要 通信 。 在 本 章 中 所 考虑 的 thinkteam 模 
型 中 ， 并 未 明确 解决 库 之 间 的 通信 问题 ， 而 是 假设 通过 合适 算法 保持 一 致 。 库 和 
thinkteam 之 间 的 通信 方式 需要 进行 明确 建 模 。 


9.4.1 thinkteam 的 随机 模型 


假设 一 个 由 3 个 库 位 置 (Va, Vb 和 Vc) 构成 的 模型 中 包括 相同 的 文件 资源 
库 、3 个 竞争 同一 文件 的 明确 建 模 的 客户 端 (CA, CB 和 CC) 以 及 thinkteam 应 
用 程序 TT。 每 个 库 位 置 与 TT 应 用 程序 相连 ， 且 定期 向 TT 发 送 其 状态 。 出 于 性 
能 分 析 的 目的 ， 应 关注 库 位 置 的 状态 ， 如 工作 量 、 可 用 性 ( 即 上 传 或 下 载 ) 以 
及 为 不 同 客户 端 所 提供 的 带宽 。TT 保持 对 所 有 文件 的 状态 进行 记录 ， 其 中 包括 
如 文件 是 否 锁 存 ( 即 由 通过 客户 端 检 查 ) 或 是 否 可 用 于 下 载 和 修改 。 
9.4.1.1 假设 条 件 

该 模型 取 自 文献 [17] ， 且 基于 以 下 假设 条 件 : 

1) 客户 和 库 之 间 的 带宽 恒定 ， 且 每 个 客户 首选 最 佳 连接 来 从 库 中 下 载 和 上 
传 文件 。 然 而 ， 有 时 首选 连接 可 能 连接 不 上 ,在 这 种 情况 下 ， 客 户 将 使 用 次 
优 库 。 

2) 每 个 客户 都 具有 一 个 表示 库 选 择 顺 序 的 静态 优先 权 列 表 。 

3) 3 个 明确 建 模 的 客户 不 会 对 整个 系统 的 整体 性 能 产生 显著 影响 (包括 许 
多 由 不 同 库 的 响应 特征 隐 式 建 模 的 活跃 客户 端 ) 。 目 的 是 从 这 3 个 客户 的 角度 来 
分 析 系 统 的 可 用 性 和 正确 性 。 

4) 只 考虑 thinkteam 客户 可 用 的 操作 子 集 ， 即 最 重要 的 操作 : checkOut 和 
checkIn。 这 样 会 使 得 模型 相对 简单 ， 同 时 可 易于 增加 其 他 操作 。 

5) 目前 尚 不 允许 TT 来 提示 客户 可 利用 桌面 上 该 文件 的 本 地 版 本 ， 如 果 TT 
注意 到 所 需 文 件 的 最 近 checkin 操作 是 由 同一 客户 执行 。 

这 些 假设 来 源 于 thinks 中 有 关 合 理 客户 行为 (1), thinkteam 抽象 模型 建 模 
需要 (2、4 和 5) 以 及 严格 的 逻辑 推理 (3) 的 讨论 。 

9. 4.1.2 模型 

模型 是 由 PEPA' 指定 的 ， 在 此 不 再 详细 解释 。 在 文献 [17] 的 附录 中 给 
出 了 完整 的 PEPA 规范 。 为 简洁 表述 ， 在 此 将 客户 、 库 和 TT 描述 为 图 9.6 ~ 图 
9.8 中 的 一 种 随机 自动 机 ， 这 也 曾 用 于 与 think3 的 同事 进行 的 讨论 中 。 在 讨论 模 
型 分 析 时 ， 状 态 和 迁移 的 标签 在 下 节 中 具有 重要 作用 。 迁 移 标 签 的 一 般 形式 是 
“from_to_action”， 其 中 “from_to” 部 分 表明 进程 间 的 信息 流 方 向 (如 CA_TT 
表示 从 CA 到 TT 的 通信 ) ， 而 “action” 部 分 表明 一 种 特定 操作 (如 cO. s 表示 
checkOut IJ, cO. f 表示 checkOut KIK, cl 表示 checkin), 
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图 9.6 X=A, B, C 时 的 客户 端 CX 

(CA Vy cL43, (CB_Vy_cl,#8).(CC_Vy_cl,u$) 
(Ww) TD 
C) (Vy_TT.0) 


(Vy. CA. 5, (Vy_CB.y 8), (Vy_CC.y9), 


图 9.7 y=a, b, c 时 的 库 Vy 






Or TT "pa Rubr ro ma) 





(Vy. TT.- ) 





K 9.8 y=a, b, c 时 的 TT 


9.4.1.3 客户 端 进程 

客户 端 CX (其 中 X=A，B，C) 的 行为 建 模 如 下 ( 见 图 9.6)。 最 初 在 CX AR 
态 下 以 速率 2A， 客 户 端 CX 向 TT 发 送 一 个 请 求 来 下 载 需 修改 的 文件 。 在 文件 可 用 
情况 下 ， 向 TT 发 送 请 求 成 功 (CX_TT_c0_s， 和 A)， 而 当 文 件 正 由 其 他 客户 端 编 辑 
时 ， 则 向 TT 发 生 请 求 失败 (CX_TT_c0_f，A)。 如 果 请 求 成 功 ，TT 向 CX 提供 
“可 能 最 佳 ”的 库 位 置地 址 (AU TT CX Va 表明 CX 接收 到 库 A 的 地 址 ) 。 

在 当前 模型 中 为 库 地 址 赋值 的 策略 非常 简单 ， 即 每 个 客户 以 最 大 静态 概率 接 
收 其 首选 库 位 置地 址 ( 即 优先 级 列表 中 的 第 一 个 地 址 )， 而 以 较 小 概率 接收 其 他 
不 同 的 库 位 置地 址 。 事 实 上 ， 首 选 库 位 置 并 不 是 总 能 获得 ， 这 是 由 于 工作 量 过 大 
或 暂时 不 可 用 。 为 了 更 好 地 与 系统 性 能 特征 相 匹 配 ， 可 以 对 这 些 概率 进行 调整 。 


O 一 个 行为 的 比率 > 定义 了 平均 持续 时 间 给 定 为 17r 时 的 持续 时 间 Al， 这 是 由 于 根据 定义 ，A 是 与 比 
率 r 相关 的 指数 分 布 的 随机 变量 。 
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理论 上 ， 可 通过 分 析 在 thinkteam 中 当前 使 用 的 单个 库 的 性 能 特征 的 日 志文 件 来 
获得 概率 表示 。 然 而 ， 在 已 分 析 的 这 些 特定 日 志文 件 中 并 未 注册 该 信息 。 

当 客户 CX 已 获得 库 位 置地 址 时 ， 该 客户 即 可 下 载 (如 从 库 A 中 通过 
(Va_CX，- ) ) 所 需 文 件 〈 一 般 是 由 要 编辑 文件 构成 的 部 分 文档 或 不 进行 编辑 的 
组 件 周围 相关 部 分 文件 构成 的 部 分 文档 ) 然后 在 状态 CX_4 下 缩 锋 文件 ， 并 为 特 
定 客户 的 编辑 以 相应 平均 时 间 17v" 的 比例 下 离开 该 状态 (通过 (CX CX, 
必 ) ) ， 最 后 通过 checkIn 操作 (如 通过 (CX Va cl, -) 到 库 A) 将 文件 上 传 到 
库 ， 接 下 来 根据 优先 权 列表 下 载 ， 并 返回 到 初始 状态 CX。 带 “- ”比率 的 行为 
是 被 动 的 ， 即 在 同步 过 程 中 (本 例 中 为 客户 和 库 进程 之 间 的 同步 ) 建立 比率 值 ， 
其 中 后 者 确定 该 值 。 

如 果 客 户 的 文件 请 求 失败 ， 则 首先 执行 一 系列 的 重 试 操作 (在 状态 CX_2 
FO. ， 然 后 获得 文件 。 这 本 质 上 意味 着 客户 以 较 大 的 比率 9 继续 发 送 请 求 (通过 
(CX_TT_c0_f，9)。 在 经 过 一 系列 的 连续 请 求 失败 后 ， 客 户 最 终 请 求 成 功 ， 并 
移动 到 状态 CX_1。 
9.4.1.4 库 运 行进 程 

HE Vy (其 中 y =a, b, c) 的 行为 建 模 如 下 ( 见 图 9.7)。 库 (位置 ) 可 以 
接受 由 客户 发 送 的 以 对 应 于 该 特定 客户 和 库 平 均 下 载 时 间 为 1/y* 的 速率 六 的 下 
BR (通过 (Vy CX, y*))， 且 以 速率 /的 checkin 操作 来 改变 。 每 次 
checkin 操作 之 后 ， 库 提示 TT (通过 (Vy TT, 8)) 文件 已 上 传 。 通 过 这 种 方 
A, TT 可 及 时 更 新 文件 状态 ， 即 解除 锁 存 ， 使 之 可 以 供 其 他 客户 使 用 。 同 理 ， 
以 相同 的 通信 方式 也 可 对 库 状态 信息 传递 给 TT 进行 建 模 。 
9.4.1.5 TT 运行 进程 

TT 的 行为 建 模 如 下 ( 见 图 9.8)。 最 初 ，TT 等 待 处 理 客户 发 送 的 文件 请 求 
(如 通过 行为 (CA_TT_c0_s，-) 来 自 客户 A)。 在 文件 请 求 成 功 的 情况 下 ，TT 
通过 上 述 赋值 策略 来 将 库 赋值 给 客户 。 

该 策略 可 通过 不 同 赋值 之 间 的 竞争 关系 随机 建 模 如 下 。 如 果 客 户 A 赋值 于 
ME A 的 平均 概率 约 为 50% ， WETE B 的 平均 概率 约 为 33% ， 赋 值 于 库 C 的 平 
均 概 率 约 为 16% ， 则 可 通过 选择 合适 的 概率 来 表征 。 例 如 ， 状 态 TT_1_1 具有 3 
种 输出 迁移 ， 分 别 标记 为 (TT_ CA, Va, 300), (TT CA. Vb, 200) 和 
(ITT_CA_Vc，100) 。 因 此 ， 从 状态 TT_1_1 总 的 退出 比率 为 300 +200 +100 = 
600， 则 客户 A 赋值 于 库 A 的 概率 为 300/600 =0.5。 这 样 相对 较 大 的 退出 比率 表 
明 相 对 于 其 他 操作 库 的 赋值 操作 是 非常 快 的 。 因 此 ， 模 型 参数 的 设置 不 会 显著 影 
响 模型 的 性 能 分 析 (由 于 空间 和 便于 阅读 的 原因 ， 在 图 9.8 中 部 分 显示 这 些 细 
节 ， 即 仅 给 定 了 相对 速率 的 表示 方法 =) 。 行 为 (TT_CX_Vy，s) 表示 赋值 一 个 
库 ， 并 锁 存 文件 ， 同 时 发 送 给 客户 一 个 库 地 址 。 
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任何 对 同一 文件 的 继续 请 求 都 会 明确 拒绝 (如 客户 A 通过 (CA TT cO. 
f，- ) ) ， 直 到 TT 接收 到 表明 文件 已 上 传 (如 库 了 通过 (Vy TT, -)) 的 来 自 库 
的 消息 。 然 后 TT 恢复 到 其 初始 状态 ， 准 备 接受 对 文件 的 下 一 个 请 求 。 
9.4.1.6 完全 规范 

thinkteam 的 规范 是 利用 3 个 客户 进程 、3 个 库 运 行进 程 和 TT 运行 进程 的 
PEPA 合作 运算 符 〈 在 此 用 || 表示 ) 通过 并 行 组 合 来 实现 的 ， 具 体 描述 如 下 : 

式 中 , 用户 = CA CB | CC; X= A, B, C; y=a, b, c; z=f, s; 系统 = 
TT || vy rr (Va || Vb || Ve). 

值得 注意 的 是 ， 上 述 分 析 仅 限于 3 个 客户 在 几乎 同一 时 间 内 对 同一 文件 竞争 
的 一 个 模型 。 正 如 之 前 解决 具有 一 个 中 心 库 的 thinkteam 模型 一 样 " ， 该 模型 也 
可 很 容易 地 扩展 到 具有 有 限 个 明确 建 模 的 客户 。 采 用 基于 仿真 的 模型 校 验方 
法 5 可 分 析 大 量 客户 的 情况 ， 但 会 产生 较 高 的 计算 成 本 且 结 果 精 度 降低 。 


9.4.2 随机 模型 分 析 


本 章 采 用 了 概率 符号 模型 校 验 器 PRISM!) ， 可 支持 包括 在 连续 时 间 马 尔 
科 夫 链 (CTMC) 上 的 连续 随机 逻辑 性 能 验证 (CSL), CTMC 可 通过 高 级 描 
述 语言 生成 ， 其 中 包括 PRSIM 为 其 提供 前 端的 PEPA, RA 3 个 客户 的 完整 PE- 
PA 规范 (在 文献 [17] 的 附录 中 给 出 ) 可 产生 具有 104 个 状态 和 330 个 迁移 的 
CTMC。 本 节 所 介绍 的 所 有 分 析 都 是 在 PRSIM v3.1.1 中 执行 的 ， 且 占用 极 少 的 
CPU 时 间 。 用 于 概率 计算 的 数值 迭代 方法 是 精度 为 10“ 的 Gauss- Seidel 法 。 详 情 
可 参见 http: //www. prismmodelchecker. org 或 文献 [20] 。 


ye cul y: =pe ye=pe  Vey*ay 0 8-6 Artus — oxi» 
4 6 8 1.35 6 100 200 300 


利用 与 文献 [17] 具有 相同 结构 的 随机 模型 来 验证 重要 参数 ( 即 编辑 和 下 
载 率 ) 不 同 假设 条 件 下 的 各 种 性 能 。 通 过 实际 应 用 thinkteam 可 经 验 性 地 获得 这 
些 假设 ， 即 利用 在 9. 3 节 中 具体 工业 实际 应 用 thinkteam 所 产生 的 日 志文 件 分 析 
结果 以 及 与 think3 的 详细 讨论 后 得 到 。 值 得 注意 的 是 ， 上 述 分 析 只 是 针对 一 年 内 
只 有 一 个 用 户 使 用 thinkteam。 剩 余 的 比率 值 (如 重 试 率 ) 由 think3 对 进行 估计 ， 
但 并 未 包括 在 本 实验 的 日 志文 件 中 。 在 表 9. 3 中 列 出 所 有 比率 值 。 下 载 率 可 以 从 
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E (客户 ) 名 称 的 下 角 (上 和 角 ) REAR. GUN, y, 表示 库 B 和 客户 端 人 之 
间 的 下 载 率 。 

在 此 选择 模型 的 时 间 单 位 为 1h。 例 如 ， 比 率 y, =6 表明 库 B 和 客户 端 A 之 
间 的 平均 下 载 时 间 为 60/6 = 10min。 该 值 看 起 来 可 能 较 大 ， 但 正如 在 9. 2. 2 节 中 
所 解释 的 ，CAD 设计 人 员 是 使 用 thinkteam 来 共享 装配 组 件 ， 即 组 合 文档 是 由 多 
个 个 体 模型 文件 (甚至 几 千 个 ) 组 成 的 。 因 此 ， 当 客户 需要 修改 某 个 文件 时 ， 
必须 下 载 (形成 该 文件 的 上 下 文 ) 大 量 其 他 文件 。 例 如 ， 比 率 = 1.35 表明 客 
户 A 在 编辑 文件 时 需 花 费 60/1.35 =44min ， 这 实际 上 对 应 于 9. 3 节 中 提 到 的 编 
辑 平 均 持 续 时 间 。 
9.4.2.1 定性 性 能 分 析 

在 分 析 模 型 性 能 之 前 ， 获 得 其 功能 正确 性 的 信任 度 是 很 重要 的 。 在 此 ， 需 要 
验证 定性 性 能 ， 如 消除 死 锁 、 可 进展 属性 和 文件 编辑 权限 的 互 斥 。 针 对 具有 
PRSIM 的 PEPA 模型 进行 随机 模型 校 验 时 ， 首 先 要 利用 PRSIM 的 前 端 设备 将 PE- 
PA 模型 转化 成 等 效 的 PRSIM 模型 ， 然 后 对 后 者 进行 CSL 公式 验证 。 这 些 公式 中 
的 变量 为 PRISM 模型 中 的 状态 。 

最 终 死 锁 时 的 概率 应 (大 多 数 情 况 下 ) 为 零 。 该 属性 可 通过 预定 义 的 
PRISM 标签 “ 死 锁 ”在 CSL 中 形式 化 ， 其 中 ， 对 每 个 吸收 状态 (如 退出 概率 为 
0 的 状态 ) 通过 以 下 方式 进行 标记 : 

P_,([ true U “deadlock” ] ) 
此 时 ，PRISM 验证 适用 于 本 模型 。 

只 要 客户 X 成 功 地 从 库 A 中 checkOut 一 个 文件 ， 则 最 终 要 对 该 文件 执行 

checkIn 操作 。 该 属性 可 通过 下 列 CSL 公式 来 得 到 : 

P_,([ true U “CXcheckIn” | * CXcheckOut" | ]) 
RB, PRAE “CXcheckIn” XX CX STATE -CX 5, mij “CXcheck-Out” 4E Y 
Jy CX. STATE = CX. 3. 1, PRISM 验证 上 述 公式 适用 于 本 模型 。 

两 个 客户 最 终 同 时 获得 对 同一 文件 修改 权限 的 概率 应 (大 多 数 情况 下 ) 为 
零 ， 该 属性 可 通过 下 列 公式 形成 : 

P<) ( [ trueU( * OKAB" OR“ OKAC" OR“ OkBC" ) ] ) 
Herp, XY - AB, AC, BCH, RÆ 

“OkXY” = (CX STATE =CX1) AND(CYSTATE = CY 1) 
意味 着 两 个 客户 端 (XAY) 同时 获得 编辑 文件 的 权限 〈 即 分 别 位 于 CX_1 和 
CY_1 状态 ) PRISM 验证 该 公式 适用 于 本 模型 。 
9.4.2.2 定量 性 能 分 析 

本 节 将 介绍 本 模型 的 性 能 问题 ， 特 别 是 从 客户 端 角 度 来 看 的 一 些 可 用 性 
问题 。 
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快速 释放 文件 

上 节 中 的 第 2 个 公式 只 表明 客户 端 最 终 可 上 传 文件 (下 载 文 件 之 后 ) 。 通 过 
下 列 CSL 公式 可 将 该 问题 量化 : 

P_,( [true U*' * CXcheckIn" | * CXcheckOut" | ] ) 

即 ， 在 下 载 (通过 checkOut) 文件 (状态 CX 3 1) 后 的 1h 内 ， 客 户 端 X FER 
态 CX_5 准备 上 传 (通过 checkIn) 文件 的 概率 是 多 少 ? 在 表明 编辑 率 从 0.75 
变化 到 5， 即 编辑 文件 的 平均 时 间 为 12 ~ 80min. (对 应 于 图 9. 2 中 分 布 平 均值 的 
半 标 准 方差 内 的 值 ) 的 图 9.9 中 给 出 上 述 结果 。 正 像 预期 的 那样 ， 客 户 编辑 的 
时 间 越 短 ， 则 在 lh 内 获得 结果 的 概率 越 大 。 
长 期 运行 行为 

影响 客户 端 使 用 thinkteam 以 及 不 同 活 动 所 需 时 间 的 一 个 参数 是 访问 同一 文 
件 时 所 用 的 平均 时 间 。 图 9. 10 中 给 出 了 改变 内 部 访问 时 间 时 ， 某 一 特定 客户 端 
在 不 同 活动 上 花费 的 平均 时 间 的 变化 ， 即 对 于 每 个 活动 ， 可 观测 到 客户 端 X 在 
显著 影响 请 求 率 的 不 同和 值 下 所 花费 时 间 的 百分比 。 


概率 


0 1 2 3 4 5 
编辑 率 nu_X 


9.9 客户 端 在 执行 checkOut 后 1h 内 checkIn 该 文件 的 概率 








图 9. 10 对 各 种 文件 内 部 访问 进行 不 同 活动 时 客户 端 所 花费 的 时 间 
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由 图 可 知 ， 在 A 很 小 的 情况 下 ， 大 部 分 时 间 都 花费 在 除 编辑 、 重 试 和 下 载 / 
上 传 之 外 的 其 他 操作 上 。 随 着 A 的 增 大 ， 这 种 模式 会 发 生 很 大 变化 。 等 待 文件 
(ŒW) 所 花费 的 时 间 迅 速 增 大 ， 从 而 客户 端 花费 在 其 他 操作 上 的 时 间 更 少 。 同 
时 ， 客 户 端 还 需 在 编辑 上 花费 更 多 时 间 ， 但 该 时 间 增 大 的 并 不 快 。 值 得 注意 的 
是 ， 从 某 一 特定 点 开始 (34 A 20.45 时 ) ， 客 户 端 用 于 重 试 获得 文件 的 时 间 要 大 
于 实际 编辑 文件 的 时 间 。 

通过 分 析 获 得 图 9. 10 中 结果 的 属性 可 在 CSL 中 简化 为 如 下 所 示 的 稳 态 特性 
形式 化 : 

S ., ([ “Client XinStateZ”] ) 

其 中 ,标签 “Client XinStateZ” 由 表示 所 关心 的 特定 活动 的 状态 代替 ， 例 如 ， 
CX STATE = CX_2 表明 客户 端 X 正 重新 尝试 获得 文件 。 
下 载 和 上 传 文件 所 需 时 间 

客户 端 下 载 和 上 传 文件 所 需 时 间 很 大 程度 上 取决 于 与 库 连接 的 带宽 、 文 件 大 
小 以 及 库 的 工作 量 。 图 9. 11 中 给 出 了 库 A 和 B 的 工作 量 改 变 对 客户 端 A 下 载 和 
上 传 文件 所 需 百 分 比 时 间 的 影响 。 


客户 端 A 下载 / 上 传 


0.05 
0.045 
0.04 
j 0.035 
4 0.03 
0.025 
0.02 
0.015 
0.01 





3 
LEET 
图 9.11 客户 端 在 下 载 或 上 传 文件 时 的 稳 态 概率 


x 轴 表 示 变 化 范围 为 1 ~ 10， 乘 以 对 于 客户 端 A、B、C, REA 下 载 率 yx (其 
中 X=A，B，C) 初始 值 分 别 设 为 2、1 和 1.5 的 效率 因子 。 同 理 ，y 轴 表 示 乘 以 
对 于 客户 端 A、B、C， 库 B 下 载 率 初始 值 分 别 为 1.5、2 和 1 的 效率 因子 。 所 有 
其 他 比率 值 见 表 9.3。 
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因此 ， 效 率 因子 越 高 ， 库 的 执行 速度 越 快 。 实 际 上 ， 正 如 预期 的 那样 ， 可 以 
看 到 当 库 (AMB) 最 优 工作 时 ， 客 户 端 A 长 期 上 传 和 下 载 时 所 花费 时 间 的 概 
率 最 小 。 同 时 还 观察 到 ， 如 果 库 B 的 工作 量 较 大 ， 则 执行 速度 较 慢 ， 从 而 将 会 
影响 库 A 上 传 和 下 载 所 需 的 时 间 。 这 是 因为 客户 端 A 从 库 BPR (上 传 到 ) HE 
文件 B 所 需 的 部 分 时 间 。 另 一 个 观察 是 在 库 已 达到 某 种 性 能 时 ， 该 百分比 时 间 
的 减少 程度 不 大 : 对 于 分 析 过 程 所 选择 的 参数 设置 ， 这 通常 发 生 在 效率 因子 为 5 
时 。 通 过 验证 客户 端 A 位 于 状态 CA_3_1、CA_3_2、CA_3_3 或 CA_5 时 的 上 
述 公 式 可 得 到 如 图 9. 11 所 示 的 结果 。 
请 求 成 功 的 重 试 次 数 

thinkteam 的 可 用 性 还 取决 于 客户 端 能 多 久 无 法 获得 所 要 修改 的 文件 。 无 法 
获得 所 需 文 件 意 味 着 客户 需要 在 随后 的 阶段 中 需要 继续 花费 时 间 来 获得 文件 或 更 
改 其 工作 计划 。 如 果 这 种 情况 频繁 发 生 ， 则 可 能 导致 客户 厌烦 ， 同 时 也 会 浪费 时 
间 。 另 外 ， 还 可 能 导致 错误 产生 〈 用 户 可 能 后 来 忘记 编辑 文件 或 忘记 所 进行 的 
修改 ) 或 在 整个 工作 流 计 划 中 产生 问题 ， 以 及 推迟 最 终 产品 的 交付 。 因 此 能 够 
对 不 同 条 件 下 以 及 thinkteam 不 同 用 户 配置 下 产生 的 问题 进行 量化 会 有 很 大 帮助 。 
ftn, 不同 的 设计 阶段 可 能 会 产生 thinkteam 的 不 同 使 用 : 最 初 ， 客 户 端 可 能 需 
要 较 多 的 时 间 来 修改 文件 ， 因 为 这 是 一 个 全 新 的 设计 ， 但 当 接 近 最 后 期 限时 ， 可 
能 会 是 许多 客户 端 需 频 繁 进 行 小 修改 以 实现 不 同 组 件 微调 的 阶段 ( 见 图 9.1)。 

图 9. 12 中 给 出 了 一 个 分 析 结 果 。 其 表明 客户 端 A 获得 修改 文件 权限 所 需 的 
重 试 平 均 次 数 会 随 着 所 有 客户 端的 编辑 和 重 试 率 同时 增 大 (导致 平均 编辑 时 间 
更 短 且 重 试 更 加 频繁 ) 以 及 客户 端 需要 文件 的 频率 增 大 ( 即 表明 上 述 客户 行为 
接近 最 后 期 限 ) 而 变化 。 

编辑 和 重 试 率 的 初始 值 分 别 设 为 0.5 和 1， 其 中 乘 以 一 个 变化 范围 为 1 ~ 10 
的 因子 ， 而 请 求 率 (其 倒数 为 checkIn 某 一 文件 以 及 随后 修改 同一 文件 之 间 所 花 
费 的 平均 时 间 ) 的 变化 范围 为 0.05 ~0.3。 因 此 ， 一 方面 认为 ， 平 均 客 户 端 行为 
从 2h 的 编辑 文件 并 每 隔 Th (x 轴 的 左 端 ) 重新 尝试 checkOut 文件 ， 到 编辑 文件 
Mite 12min 并 每 隔 Omin (x 轴 的 右 端 ) 重新 尝试 checkOut 文件 。 另 一 方面 ， 
checkIn 文件 以 及 随后 请 求 checkOut 同一 文件 所 花费 的 时 间 ， 从 每 天 大 约 一 次 
(y 轴 的 左 端 ) 到 每 3h 一 次 (y 轴 的 右 端 ) 。 

通过 扩展 本 模型 的 PRISM 规范 ， 利 用 一 个 回报 结构 来 计算 成 功 请 求 次 数 以 
及 为 一 个 回报 结构 来 计算 重 试 次 数 来 得 到 图 9. 12 中 的 结果 。 回 报 结构 是 在 需 计 
算 行为 的 CTMC 定义 基础 上 来 定义 的 。 从 而 ， 可 通过 一 些 基 于 回报 的 特性 来 分 析 
模型 。 在 此 ， 采 用 计算 长 期 运行 平均 回报 的 稳 态 回报 公式 。 该 公式 在 PRISM 中 
可 形式 化 为 

R{“label”} =? [S] 
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客户 端 A 重 试 次 数 





图 9.12 客户 端 执行 重 试 获取 某 一 文件 的 平均 次 数 


式 中 ,“label” 为 回报 结构 ;5 表示 所 计算 的 稳 态 回报 。 每 次 请 求 成 功 所 重复 的 
请 求 失败 次 数 如 图 9. 12 所 示 ， 这 是 通过 将 label = NrFailedRequestsClientA 时 的 公 
式 输出 结果 除 以 label = NrSuccessfulRequestsClientA 时 的 结果 而 得 到 的 。 

由 图 9. 12 可 知 ， 当 客户 端 编辑 文件 的 平均 时 间 越 长 而 试图 重新 尝试 check- 
Out 文件 并 不 频繁 (GA x 轴 的 左 端 ) ， 特 别 是 checkin 文件 和 随后 checkOut 文件 
的 请 求 同 时 减少 〈 朝 y 轴 的 右 端 ) 时 ， 客 户 端 需要 执行 获取 文件 的 重 试 次 数 将 
会 增 大 。 

在 一 个 特定 应 用 环境 下 具有 更 详细 的 数据 可 提高 采用 相同 模型 进行 随机 
分 析 的 准确 度 。 在 实验 环境 下 thinkteam 的 具体 应 用 特点 表明 每 次 成 功 check- 
Out 时 平均 重 试 次 数 是 可 接受 的 ， 同 时 还 表明 当 编 辑 和 重 试 率 在 许多 客户 端 
需要 频繁 对 文件 进行 微小 修改 的 接近 最 后 期 限期 间 内 逐步 增 大 时 ， 平 均 重 试 
次 数 也 是 可 接受 的 。 

在 假设 编辑 时 间 更 长 (大 约 200min 而 非 44min) H FREER (大 
约 Imin 而 非 10min) 的 不 利 情况 下 ， 对 与 文献 [17] 中 相同 的 模型 进行 分 
析 表 明 ， 每 次 成 功 时 重 试 次 数 可 能 会 高 达 无 法 接受 (KABA 9.12 中 重 试 
次 数 的 10 倍 ) 。 在 这 种 情况 下 ， 等 待 队列 策略 可 能 会 比重 试 策略 更 加 适合 ， 
从 而 可 减少 客户 端 重 试 获得 文件 所 浪费 的 时 间 。 通 过 采用 不 同 分 析 方 法 对 文 
BA [13] 中 的 模型 进行 分 析 可 得 到 类 似 结论 ,该 方法 考虑 更 多 客户 端 时 所 
存在 的 动态 影响 。 
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9.5 经 验 教训 


在 包括 面对面 的 会 议 或 通过 电话 或 电子 邮件 方式 的 远程 协作 系统 会 议 中 利用 
think3 进行 交互 设计 的 阶段 ，think3 已 获得 与 本 章 所 提出 的 建 模 和 验证 方法 相关 
的 主要 技术 和 工具 的 基本 知识 。 实 际 上 ， 已 经 可 以 以 各 种 方式 利用 该 形式 化 模型 
来 研究 thinkteam 及 其 扩展 系统 的 行为 。 例 如 包括 模拟 、 消 息 序列 图 和 模型 校 验 
器 产生 的 反例 等 示例 。 这 有 助 于 检测 think3 在 关于 所 提出 的 thinkteam 扩展 系统 
上 进行 设计 时 的 一 些 不 确定 和 模棱两可 的 地 方 。 另 外 ，think3 利用 thinkteam 的 
扩展 模型 以 及 发 布 /订阅 事件 通知 服务 功能 作为 实现 扩展 的 基础 ， 这 当然 可 增加 
系统 设计 实用 性 的 信心 。 对 think3 来 说 ， 在 实际 实施 之 前 ， 并 发 系统 的 模型 校 验 
规范 已 真正 地 令 人 大 开眼 界 。 现 已 意识 到 协同 系统 (如 thinkteam) 固有 的 并 发 
特性 及 其 复杂 行为 。 另 外 ， 在 合作 过 程 中 开发 的 相对 简单 、 轻 量 级 以 及 高 度 抽象 
的 模型 已 证 明 在 讨论 更 加 详细 的 设计 和 实现 问题 之 前 ， 对 于 thinkteam 接口 开发 
的 关键 问题 具有 很 大 帮助 。 


9.6 小 结 


本 章 针对 think3 的 PDM 应 用 程序 thinkteam 在 小 型 但 相关 的 工业 案例 中 的 可 
用 性 方面 进行 了 定性 性 能 和 定量 性 能 的 形式 化 分 析 。 对 具有 随机 进程 代数 PEPA 
的 复制 库 的 附加 功能 进行 建 模 ， 并 验证 了 在 具有 随机 模型 校 验 器 PRISM 的 模型 
中 以 随机 时 态 逻 辑 CSL 表示 的 性 能 。 验 证 的 性 能 包括 如 库 赋值 、 编 辑 权 限 互 斥 
和 消除 死 锁 的 功能 性 性 能 ， 以 及 特别 是 在 连接 服务 质量 、 库 可 用 性 和 用 户 工 作 模 
式 等 不 同 假设 条 件 下 可 提供 thinkteam 可 用 性 信息 的 性 能 。 

PEPA 规范 的 图 形 化 表示 有 助 于 与 来 自 工厂 的 think3 同事 进行 模型 开发 和 讨 
论 。 此 外 ， 现 已 拥有 多 个 独立 设计 部 门 的 许多 重要 制造 业 都 在 使 用 thinkteam, 
其 中 ， 各 个 设计 部 门 都 需要 可 靠 且 高 效 的 软件 系统 来 以 一 种 高 效 方式 进行 协作 。 
在 软件 产品 化 时 应 考虑 think3 中 许多 固有 的 并 发 性 问题 ， 以 及 在 进行 产品 质量 评 
估 时 所 意识 到 的 难点 问题 ， 都 可 通过 提高 在 软件 设计 的 早期 阶段 利用 模型 校 验 技 
术 的 兴趣 来 简化 。 

与 think3 密切 合作 而 开发 的 thinkteam 模型 已 表明 这 项 工作 对 于 获得 精确 而 
明确 的 规范 具有 重要 意义 ， 同 时 有 助 于 提供 有 关 thinkteam 的 更 好 文档 。 另 一 方 
面 ， 通 过 分 析 实 际 应 用 thinkteam 的 日 志文 件 而 获得 的 信息 对 于 模型 和 结果 具有 
相当 大 的 作用 。 进 一 步 分 析 这 些 数据 有 助 于 获得 用 于 分 析 thinkteam 在 不 同 使 用 
模式 下 的 模型 。 相 信 这 是 值得 深入 研究 的 具有 重大 意义 的 主题 。 反 过 来 ， 这 些 模 
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型 和 结果 也 在 改进 记录 thinkteam 用 户 活动 的 日 志 中 发 挥 作用 ， 以 获得 更 多 有 关 
thinkteam 可 用 性 方面 的 理解 。 
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第 6 部 分 


运行 时 : 测试 和 模型 学 习 


第 10 章 测试 和 测试 控制 符号 
TTCN-3 及 其 应 用 


Ina Dchieferdecker 和 Alain-Georges Vouffo-Feudjio 
a» $ BERK FOKUS, HH, 2B 


10.1 简介 


为 了 满足 具有 能 够 描述 测试 行为 规范 的 普遍 理解 语言 句法 的 迫切 需要 ， 而 创 
建 了 TTCN-3 语言 "1。 工 业 和 科学 上 为 满足 所 有 黑箱 、 灰 箱 测试 所 需 的 一 个 单一 
测试 符号 促进 了 TTCN-3 语言 的 发 展 。 与 早期 的 测试 技术 相 比 ，TTCN-3 提倡 采 
用 常见 方法 和 风格 ， 以 使 得 套件 和 产品 的 测试 维护 更 为 简单 。 在 TTCN-3 的 作用 
下 ， 测 试 人 员 可 指定 抽象 层 的 测试 套件 并 侧重 于 检查 测试 目的 而 非 测 试 系统 适应 
和 执行 细节 的 测试 逻辑 。 标 准 化 语言 向 测试 套件 提供 者 和 用 户 提供 了 很 多 优势 。 
而 且 ， 由 于 可 获得 大 量 文档 、 示 例 和 预先 设 定 的 测试 套件 ， 采 用 标准 化 语言 还 可 
减少 教学 和 训练 的 成 本 。 显 然 ， 在 对 于 不 同 测试 类 型 下 测试 而 非 学 习 不 同 技术 时 
更 倾向 于 采用 相同 的 语言 。 稳 定 应 用 以 及 在 TTCN-3 供应 商 与 用 户 之 间 的 合作 确 
保 了 该 语言 的 一 致 性 维护 和 发 展 。 

TTCN-3 是 树 和 表 相 结合 的 符号 (TTCN) 的 后 续 版 本 ，TTCN 最 初 是 在 1984 ~ 
1997 年 间 由 国际 标准 化 组 织 (ISO). 开发 的 以 作为 一 种 广泛 应 用 于 开放 系统 互联 
(OSI) 的 一 致 性 测试 标准 和 方法 2 。TTCN 现 已 成 为 一 种 着 重 于 激励 和 多 个 响应 
测试 中 树 形 结构 的 以 表格 形式 表示 的 相对 静态 测试 规范 语言 。TTCN 由 欧洲 通信 
标准 委员 会 (ETSI) 通过 增加 模块 化 、 并 发 测试 和 支持 抽象 语法 符号 
(ASN. 115) 而 逐步 发 展 为 TTCN-2 和 TTCN-2 + +l, 1998 Æ, ETSI 又 开始 开 
A TTCN-3, TTCN-3 的 第 一 个 版 本 在 2000 年 发 布 。 自 此 以 后 ，TTCN-3 不 断 更 新 
和 扩展 。 最 新 版 本 是 2010 年 发 布 的 v4. 2. 11577, 

TTCN-3 能 够 对 各 种 测试 类 型 进行 基于 规范 的 系统 测试 ， 如 一 致 性 测试 、 互 
操作 性 测试 、 回 归 测 试 、 鲁 棒 性 测试 、 性 能 测试 和 可 扩展 性 测试 。TTCN-3 是 一 
种 定义 用 于 分 布 式 系统 黑箱 测试 和 灰 箱 测试 的 测试 程序 的 语言 。 可 允许 对 简单 的 
集中 式 测试 行为 和 复杂 的 分 布 式 测试 行为 在 队列 、 选 项 方案 和 激励 与 响应 的 循环 
上 进行 一 种 简单 有 效 的 描述 。 测 试 系统 可 利用 大 量 测试 组 件 来 并 行 执 行 测试 程 
序 。TTCN-3 语言 具有 完整 定义 的 语法 和 操作 语义 的 特点 ， 可 为 TTCN-3 测试 规 
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范 及 其 执行 提供 了 一 个 准确 的 理解 。 

对 于 测试 人 员 来 说 ， 指 定 包括 测试 数据 、 测 试 配 置 和 测试 行为 的 工作 易于 完 
成 。 一 个 测试 系统 能 够 与 一 个 被 测 系统 (SUT) 进行 同步 通信 或 异步 通信 。 测 试 
系统 和 SUT 之 间 的 数据 传输 可 通过 模板 进行 定义 ， 该 模板 能 够 利用 功能 强大 的 
匹配 机 制 来 定义 所 用 数据 或 期 望 数据 的 精确 设置 。 同 时 ， 提 供 了 一 种 判决 处 理 机 
制 来 评估 SUT 的 反应 。 测 试 数据 和 类 型 既 可 直接 在 TTCN-3 中 描述 ， 也 可 从 其 他 
数据 类 型 语言 中 导入。 此 外 ， 还 支持 模块 、 测 试 案例 或 函数 以 及 甚至 TTCN-3 模 
块 的 各 种 参数 化 形式 ， 以 使 之 能 够 灵活 重用 并 适用 于 不 同 测试 情况 下 的 测试 规 
范 。 选 择 将 要 执行 的 测试 案例 既 可 在 测试 运行 中 由 用 户 直接 控制 ， 也 可 在 模块 控 
制 部 分 中 指定 。 

图 10. 1 给 出 了 TTCN3 语言 的 简要 概述 。TTCN-3 元 模型 定义 了 TTCN-3 的 
多 种 概念 及 其 之 间 的 关系 中 。 这 些 概念 可 以 以 文本 !9 、 表 格 "] 、 图 形 弓 或 其 他 
性 能 表示 形式 表现 出 来 。 另 外 ，TTCN-3 还 支持 导入 在 ASN. 1、 接 口 定义 语言 
(IDL?) 和 可 扩展 标记 语言 (XML) 中 指定 的 数据 类 型 和 值 。 而 且 ， 也 
支持 其 他 如 结构 化 查询 语言 (SQL?!) 或 网 页 服务 描述 语言 (WSDLÜU) 等 数 
HER”. 





图 10.1 TTCN-3 技术 的 基本 结构 


TTCN-3 的 ETSI 标准 包括 了 在 “测试 及 规范 方法 ; 测试 与 测试 控制 符号 第 3 
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版 ”系列 文档 中 分 为 的 10 部 分 : 

1) TTCN3 核心 语言 (9 。 该 文档 规范 了 TTCN-3 语言 的 语法 以 及 如 何 由 一 组 
TTCN-3 模块 来 定义 测试 套件 。 

2) 表格 表示 格式 (TFT?) 。TTCN-3 除了 提供 一 种 文本 格式 外 还 提供 了 其 
他 表示 格式 。 表 格格 式 在 形式 和 功能 上 与 早期 的 TTCN-2 版 本 "很 相似 。 这 是 专 
为 更 喜欢 TTCN-2 早期 版 本 编写 测试 套件 风格 的 用 户 设计 的 。 一 个 TTCN-3 模块 
在 TFT 中 表示 为 一 组 表格 。 然 而 ， 由 于 这 种 格式 没有 太 多 用 户 ， 并 在 2007 年 发 
布 了 最 新 版 本 。 

3) 图 形 表示 格式 (CFT), XÆ TTCN-3 中 第 2 种 基于 消息 队列 图 
(MSCU?) 的 表示 格式 。 在 GFT 中 ，TTCN-3 的 行为 定义 由 队列 图 表示 。 直 到 统 
一 建 模 语言 (UML) 测试 图 '3 越 来 越 多 地 用 作 TTCN-3 的 另 一 种 前 端 ，GFT 曾 
被 广泛 运用 。 

4) 可 操作 性 语义 9 。 第 4 部 分 介绍 了 TTCN-3 的 行为 结构 的 含义 ， 并 提供 
了 一 个 面向 状态 的 TTCN-3 模块 执行 视图 。 

5) TTCN-3 运行 时 接口 (TRIU? ) 。 一 个 基于 TTCN-3 的 测试 系统 需要 一 个 
适用 于 SUT 处 理 通信 和 定时 间 题 的 特殊 平台 。TRI 定义 了 一 组 适用 于 测试 系统 到 
一 个 SUT 的 接口 ， 这 些 接口 是 由 系统 适配器 实现 的 。 

6) TTCN3 控制 接口 (TCIW"1)。 另 外 ， 一 个 基于 TTCN-3 的 测试 系统 还 需 
要 一 个 适用 于 解决 测试 管理 、 测 试 组 件 处 理 、 外 部 数据 编码 /解码 以 及 日 志 记 录 
的 测试 平台 。 由 TCI 定义 的 这 个 测试 平台 的 一 组 接口 是 由 测试 适配器 实现 的 。 

另外 ， 还 开发 了 一 些 有 关 语 言 映射 和 其 他 语言 特点 的 附加 标准 ， 如 下 所 述 : 

7) 从 ASN. 1 模块 到 TTCN-3 的 语言 映射 1。 

8) 从 IDL 规范 到 TTCN-3 的 语言 映射 。 

9) 从 XML 结构 到 TTCN-3 的 语言 映射 1。 

10) 对 TTCN-3 模块 中 文档 标记 的 支持 。 

在 2010 年 ， 在 TTCN-3 中 增加 了 扩展 包 。 一 个 扩展 包 定义 了 一 组 关于 TTCN-3 
应 用 于 特定 应 用 领域 的 附加 但 可 选 的 概念 。 例 如 ， 实 时 概念 对 于 测试 嵌入 式 或 时 
间 关 键 的 系统 非常 有 用 ， 但 对 于 普通 的 测试 并 不 需要 。TTCN-3 的 扩展 包 包括 ; 

11) 支持 静态 配置 及 部 署 15] 。 

12) 支持 包括 如 类 型 参数 化 的 高 级 参数 化 5061 。 

13) 支持 行为 类 型 以 允许 如 函数 动态 分 配 等 ("1。 

14) 支持 TTCN-3 的 性 能 和 实时 测试 2 。 

TTCN-3 是 一 种 不 断 维持 随 着 工业 用 户 的 需求 而 增加 的 新 标准 的 测试 技术 。 
最 新 的 信息 可 在 由 ETSI 维护 的 TTCN-3 主页 中 获得 号 ] 。 


182 工业 关键 系统 的 形式 化 方法 : 应 用 综述 





10.2 TTCN-3 概念 


TTCN-3 的 核心 语言 是 一 种 测试 规范 和 测试 实现 语言 ， 具 有 现代 编程 语言 的 形 
式 和 内 涵 。 除 了 典型 的 编程 结构 外 ，TTCN-3 还 包含 了 所 有 不 同 测试 形式 下 规范 测 
试 数据 和 测试 程序 所 需 的 重要 特征 ， 其 中 包括 测试 判决 、 数 据 模板 、 定 时 器 处 理 、 
测试 组 件 、 同 步 和 异步 通信 、 记 录 日 志和 类 似 这 些 特征 。TTCN-3 测试 规范 能 够 从 
其 他 模块 中 输入 定义 ; 定义 类 型 和 测试 数据 ; 规范 函数 、altsteps 和 测试 案例 中 的 
测试 行为 ， 并 定义 控制 部 分 中 测试 案例 的 选择 、 参 数 化 和 执行 ( 见 图 10.2)。 


TTCN-3 模 块 
| 利用 其 他 模块 的 定义 
- 用 户 自 定义 数据 类 型 
|| 发送 或 沿 测试 接收 测试 的 数据 
测试 组 件 类 型 和 端口 类 型 


功能 、altsteps 和 测试 案例 





测试 案例 的 选择 、 参 数 化 和 执行 





图 10.2 TTCN-3 的 模块 结构 


10.2.1 模块 


一 种 基于 TTCN-3 的 测试 规范 中 的 高 层 构建 块 是 module。 一 个 模块 中 包含 了 
除了 其 他 TTCN-3 的 结构 ， 但 不 包括 子 模块 。 模 块 可 输入 其 他 模块 的 完全 定义 或 
部 分 定义 。 模 块 可 由 运行 时 测试 环境 提供 的 值 来 参数 化 。 对 于 参数 ， 还 可 指定 默 
认 值 。 

一 个 TTCN-3 模块 由 两 部 分 组 成 : 模块 定义 部 分 和 模块 控制 部 分 。 定 义 部 分 
包含 了 由 模块 定义 的 数据 〈 函数 、 测 试 案例 、 组 件 、 类 型 BU), ， 这 些 数据 都 
能 在 整个 模块 内 部 使 用 ， 也 可 从 其 他 模块 输入 。 控 制 部 分 是 一 个 模块 的 主要 程 
序 ， 描 述 了 测试 案例 或 函数 的 执行 顺序 。 模 块 可 访问 测试 案例 输出 的 判决 ， 并 根 
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据 这 些 判 决 来 决定 测试 执行 的 下 一 步 动 作 。TTCN-3 中 的 测试 行为 在 函数 、alt- 
steps 和 测试 案例 中 进行 定义 。 模 块 的 控制 部 分 可 调用 任何 在 其 属于 的 模块 中 定 
义 或 输入 的 测试 案例 或 函数 。 


10.2.2 测试 系统 


一 个 测试 案例 是 通过 测试 系统 来 执行 的 。TTCN-3 允许 规范 静态 集中 式 或 动 
态 并 发 式 测试 系统 。 一 个 测试 系统 由 具有 完整 定义 的 通信 端口 的 一 组 互联 测试 组 
件 和 一 个 用 于 定义 测试 系统 与 SUT 边界 的 显 式 测试 系统 接口 组 成 。 

在 每 个 测试 系统 中 ， 都 有 一 个 主 测试 组 件 (MTC ) 。 而 其 余 所 有 的 其 他 组 件 都 
称 为 并 行 测试 组 件 (PTC ) 。 在 每 个 测试 案例 开始 执行 时 ， 自 动 创建 并 执行 MCT。 
在 MTC 执行 结束 时 ， 测 试 案 例 也 结束 ， 也 意味 着 结束 了 所 有 其 他 PTC 的 执行 。 
MTC 的 行为 是 在 测试 案例 本 体 中 指定 的 。 在 一 个 测试 案例 执行 期 间 ，PTC 可 动态 
地 创建 、 开 始 和 停止 。 一 个 测试 组 件 可 自动 停止 ， 也 可 由 其 他 测试 组 件 停止 。 

为 了 通信 的 目的 ， 每 个 测试 组 件 都 有 一 组 局 部 端口 。 每 个 端口 都 有 输入 方向 
和 输出 方向 。 输 入 方向 建 模 为 一 种 先 人 先 出 〈FKIFO) 的 无 限 队列 ， 其 中 存储 着 
输入 信息 ， 直 到 这 些 信息 通过 测试 组 件 自身 端口 进行 处 理 。 输 出 方向 直接 与 通信 
部 分 连接 成 为 另 一 个 测试 组 件 或 SUT， 即 输出 信息 没有 缓存 。 

在 测试 执行 期 间 ，TTCN-3 可 区 分 连接 端口 和 映射 端口 。 连 接 接 口 用 来 与 其 
他 测试 组 件 进 行 通信 。 如 果 两 个 端口 相连 ， 则 一 个 端口 的 输入 方向 与 男 一 个 端口 
的 输出 方向 相连 ， 反 之 亦 然 。 映 射 接口 是 用 来 与 SUT 进行 通信 。 将 一 个 测试 组 
件 的 自身 端口 映射 到 抽象 测试 系统 接口 的 一 个 端口 可 看 作 定义 信息 流 如 何 被 引用 
的 一 种 单纯 的 名 字 迁 移 。TTCN-3 可 区 分 抽象 测试 系统 接口 和 实际 测试 系统 接口 。 
抽象 测试 系统 接口 建 模 为 一 个 定义 SUT 抽象 接口 的 端口 集合 。 而 实际 测试 系统 
接口 是 一 种 基于 TTCN-3 的 测试 环境 的 特殊 应 用 。 可 实现 SUT 的 实际 接口 ， 且 在 
TRI 中 定义 (TTCN-3 的 第 5 部 分 ) 。 

在 TTCN-3 中 ， 在 运行 时 可 动态 创建 和 释放 连接 和 映射 。 一 个 组 件 的 连接 和 
映射 个 数 在 逻辑 上 没有 限制 ,但 仅 限制 了 所 用 的 测试 设备 个 数 。 一 个 组 件 CE 
至 一 个 端口 ) 可 以 与 自身 相连 。 同 时 ， 也 允许 一 对 多 的 连接 。 在 测试 执行 期 间 
通信 双方 需 唯一 指定 的 情况 下 可 采用 一 对 一 的 通信 ， 而 通过 组 播 和 广播 方式 可 采 
用 一 对 多 的 通信 。 对 于 测试 组 件 之 间 以 及 测试 组 件 与 SUT 之 间 的 通信 ，TTCN-3 
支持 基于 消息 和 基于 过 程 的 通信 。 基 于 消息 的 通信 是 根据 一 种 发 送 方 和 接收 方 相 
互 独立 进行 的 异步 消息 交换 (除了 只 能 在 发 送 后 才能 接收 的 消息 之 外 )。 基 于 过 
程 的 通信 主要 以 远程 实体 中 的 同步 调用 程序 为 基础 。 在 基于 过 程 的 通信 中 ， 原 则 
上 会 阻 断 调 用 组 件 ， 直 到 接收 到 一 个 调用 响应 或 异常 。 在 TTCN-3 中 ， 出 于 测试 
目的 都 可 指定 调用 程序 并 等 待 响应 或 异常 的 客户 端 ， 以 及 接受 调用 并 输出 响应 或 
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产生 异常 的 服务 器 端 。 
10.2.3 测试 案例 和 测试 判决 


测试 案例 定义 了 用 于 执行 检查 SUT 是 否 通过 测试 的 测试 行为 。 与 模块 类 似 ， 
认为 测试 案例 是 一 个 用 于 检查 给 定 测试 目的 测试 过 程 的 独立 且 完 整 的 规范 。 测 试 
案例 的 执行 结果 即 测试 判决 书 。 

TTCN-3 为 解释 测试 运行 提供 了 一 种 特殊 的 测试 判决 机 制 。 该 机 制 是 通过 一 
组 预先 设 定 的 判决 、 局 部 测试 和 全 局 测试 判决 以 及 读 取 和 设置 局 部 测试 判决 的 操 
作 来 实现 的 。 预 先 设 定 的 判决 包括 pass, inconc, fail, error 和 none。 这 些 判决 都 
是 用 来 判断 测试 完整 运行 或 局 部 运行 的 。pass 判决 表示 SUT 的 行为 是 根据 测试 
目的 的 ; fail 判决 表示 SUT 违反 了 其 规范 ; incone (不 确定 ) 判决 描述 了 一 种 既 
JẸ pass 也 非 fail 的 情况 ;none 判决 是 局 部 和 全 局 测试 判决 的 初始 值 ， 即 还 没有 赋 
值 任 何 判 决 。 在 测试 执行 期 间 ， 每 个 测试 组 件 都 保持 其 自身 的 局 部 测试 判决 。 一 
个 局 部 测试 判决 是 一 个 在 组 件 创 建 时 每 个 测试 组 件 的 自动 实例 化 对 象 。 一 个 测试 
组 件 能 够 检索 并 设置 其 局 部 判决 。error 判决 是 指 不 允许 由 测试 组 件 来 进行 设置 。 
如 果 在 测试 设备 中 产生 一 个 错误 ， 则 通过 TTCN-3 的 运行 时 环境 自动 设置 。 当 一 
个 局 部 测试 判决 值 发 生变 化 时 ， 应 运用 特殊 的 重 写 规则 。 重 写 规则 只 可 能 使 得 测 
试 判决 变 得 更 差 ; 如 pass 判决 可 能 变 为 inconc 判决 或 fail 判决 ， 但 fail 判决 却 不 
能 变 为 pass 判决 或 inconc 判决 。 

除了 局 部 测试 判决 ，TTCN-3 运行 时 环境 还 对 每 个 测试 案例 都 保持 一 个 全 局 测试 
判决 。 该 全 局 测试 判决 不 能 由 测试 组 件 访问 。 当 测试 组 件 结束 测试 时 ， 可 根据 重 写 规 
则 进行 更 新 。 当 测试 案例 结束 时 ， 在 模块 控制 部 分 会 返回 最 终 的 全 局 测试 判决 。 


10.2.4 备 选 方案 和 快照 


TTCN-3 语义 的 一 个 特殊 功能 是 快照 。 快 照 与 测试 组 件 的 行为 有 关 。 对 于 由 
于 发 生 超 时 ,测试 组 件 终止 运行 ， 以 及 信息 接收 、 程 序 调用 、 程 序 回 应 或 其 他 异 
常 行为 等 原因 产生 的 行为 分 支 ， 快照 是 十 分 必要 的 。 在 TTCN-3 中 ， 行 为 分 支 是 
通过 alt 声明 语句 来 定义 的 。 

一 个 alt 声明 语句 描述 了 备 选 方案 的 有 序 集合 ， 即 一 个 行为 的 选项 方案 分 支 
的 有 序 集合 。 每 个 备 选 方案 都 有 一 个 守护 条 件 。 一 个 守护 条 件 中 包括 几 个 可 能 是 
指 变 量 值 的 前 置 条 件 、 定 时 器 状态 、 端 口 队列 容量 以 及 组 件 、 端 口 和 定时 器 的 识 
别 码 。 相 同 的 前 置 条 件 可 用 于 不 同 的 守护 条 件 。 如 果 满 足 相应 的 守护 条 件 ， 即 可 
执行 备 选 方案 。 如 果 有 多 个 备 选 方案 都 可 执行 ， 则 执行 备 选 方案 列表 中 的 第 一 个 

可 执行 备 选 方案 。 如 果 没 有 可 执行 的 备 选 方案 ， 则 再 次 执行 alt 声明 语句 。 
评估 多 个 守护 条 件 需 要 一 段 时 间 。 在 这 段 时 间 内 ， 前 置 条 件 可 能 会 动态 变 
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化 。 如 果 一 个 前 置 条 件 在 不 同 的 守护 条 件 下 多 次 验证 ， 将 会 导致 守护 条 件 评估 的 
不 一 致 。TTCN-3 通过 利用 快照 来 避免 产生 上 述 问 题 。 快 照 是 包括 alt 声明 语句 评 
估 所 需 所 有 信息 的 局 部 模块 状态 。 在 执行 一 个 备 选 方案 时 ， 会 选择 〈 即 记录 ) 
一 个 快照 。 对 于 前 置 条 件 的 验证 ， 只 需 利 用 当前 快照 的 信息 。 因 此 ， 前 置 条 件 的 
动态 变化 不 会 影响 守护 条 件 的 评估 。 


10.2.5 默认 处 理 


在 TTCN-3 中 ， 默 认 值 是 用 于 备 选 方案 的 重复 设置 ， 这 经 常用 于 处 理 一 些 非 
期 望 响应 或 无 响应 。 默 认 行 为 可 通过 altsteps 来 指定 ， 并 作为 默认 值 。 对 于 每 个 
测试 组 件 ， 默 认 行 为 〈 即 激活 的 altsteps) 都 保存 在 激活 顺序 的 默认 列表 中 。 
TTCN-3 的 操作 激活 或 禁用 这 些 默 认 列 表 中 的 操作 。 激 活 操作 会 在 列表 末端 增加 
新 的 默认 行为 ， 而 禁用 操作 会 从 列表 中 删除 默认 行为 。 

如 果 当 前 快照 并 非 al 匹配 中 的 任何 一 个 备 选 方案 ， 则 在 每 个 alt 声明 语句 之 
后 会 调用 激活 的 默认 行为 。 正 如 一 个 at 中 的 选项 方案 ， 激 活 默认 行为 及 其 选项 方 
案 会 逐个 进行 评估 。 如 果 某 个 选项 方案 匹配 ， 则 执行 该 激活 的 默认 行为 。 如 果 没 有 
一 个 激活 默认 行为 的 选项 方案 匹配 ， 则 进行 新 的 快照 ， 并 再 次 执行 alt 声明 语句 。 

在 默认 行为 成 功 匹 配 的 情况 下 ， 则 默认 行为 会 通过 一 个 stop 声明 语句 来 停 
止 执行 测试 组 件 ， 这 可 能 会 repeat 再 次 执行 alt 声明 语句 ， 或 在 调用 默认 行为 的 
alt 声明 语句 之 后 立刻 继续 执行 测试 组 件 的 主 控制 流 。 

TTCN-3 使 用 altstep 来 指定 默认 行为 或 结构 化 选项 方案 的 集合 。altsteps 的 语 
义 与 选项 方案 和 快照 密切 相关 。 正 如 在 一 个 alt 声明 语句 中 ， 一 个 altstep 定义 了 
选项 方案 的 有 序 集合 。 不 同 之 处 在 于 在 执行 一 个 altstep 时 不 会 进行 快照 。altstep 
选项 方案 的 评估 是 基于 从 调用 的 alt 声明 语句 中 进行 的 当前 快照 。 从 概念 上 讲 ， 
altstep 的 选项 方案 增加 到 alt 声明 语句 的 选项 方案 集合 中 。 另 外 ， 也 可 以 像 调用 
图 数 一 样 来 调用 altstep。 在 这 种 情况 下 ， 可 将 altstep 看 作 一 个 只 调用 altstep 的 alt 
声明 语句 。 也 就 是 说 ，altstep 的 选项 方案 仅 是 该 alt 声明 语句 中 的 选项 方案 。 


10.2.6 通信 操作 


对 于 规范 测试 行为 ， 通 信 操 作 非 常 重要 。TTCN-3 支持 基于 消息 和 基于 过 程 
的 通信 。 通 信 操 作 可 分 为 两 部 分 : 向 SUT 发 送信 息 的 激励 和 用 于 描述 SUT 反应 
的 响应 。 

在 TTCN-3 中 ， 基 于 消息 的 通信 和 是 异步 通信 ， 这 意味 着 消息 的 发 送 是 没有 阻 
塞 的 ; 在 消息 发 送 之 后 ， 系 统 不 必 等 待 响应 。 接 收 操作 会 阻 断 执 行 ， 直 到 在 指定 
端口 接收 到 一 条 与 之 匹配 的 消息 。 接 收 操作 定义 了 一 个 用 于 接收 有 效 消息 的 匹配 
部 分 。 另 外 ， 也 可 指定 一 个 地 址 来 确定 来 自 期 望 消息 的 连接 。 定 义 以 下 操作 来 实 
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现 基于 消息 的 通信 : 

e send， 直 接 向 SUT 或 另 一 个 PTC 发 送 消息 ; 

e receive, M SUR 或 另 一 个 PTC 接收 消息 ; 

e trigger， 忽 略 所 有 输入 消息 ， 直 到 期 望 消息 到 达 。 

在 TTCN-3 中 ， 基 于 过 程 的 通信 为 同步 通信 ， 也 就 是 说 消息 的 调用 基本 上 会 
被 阻 断 。 对 于 同步 通信 ， 定 义 以 下 操作 : 

e call, ， 调 用 一 个 远程 程序 ; 

e getcall ， 接 受 调 用 ; 

e reply， 对 调用 作出 回应 ; 

e getreply ， 接 受 调用 的 回应 ; 

e raise， 提 供 一 个 异常 调用 ; 

e catch ， 接 受 一 个 异常 调用 。 


10.2.7 测试 数据 规范 


一 个 测试 系统 需 与 SUT 交换 数据 并 在 PTC 之 间 交 换 数据 。 与 SUT 的 通信 可 以 
是 通过 从 /到 SUT 发 送 /接收 消息 的 异步 形式 ， 也 可 以 是 通过 调用 SUT 程序 或 从 
SUT 接收 调用 程序 的 同步 形式 。 在 这 些 情况 下 ， 应 根据 SUT 规范 由 测试 系统 来 定 
义 测试 数据 。TTCN-3 可 提供 不 同 结构 来 描述 测试 数据 : 类 型 、 模 板 、 变 量 和 程序 
签名 等 。 这 些 测试 数据 都 能 用 来 表示 协议 消息 、 服 务 原 语 、 程 序 调用 、 异 常 处 理 。 
除 此 以 外 ，TTCN-3 还 可 能 会 导 人 如 ASN. 1, IDL 或 XML 等 其 他 语言 描述 的 数据 。 

在 可 指定 用 户 定义 类 型 的 基础 上 ，TTCN-3 还 提供 了 一 系列 基本 类 型 和 预定 
义 类 型 。 大 部 分 类 型 与 所 熟悉 的 程序 语言 中 的 类 型 相似 ， 如 Java 或 C。 但 其 中 一 
些 类 型 是 专用 于 测试 领域 的 : 

e port 类 型 ， 用 于 定义 通过 PTC 之 间或 与 SUT 之 间 进 行 通信 的 一 个 给 定 端口 
类 型 的 端口 (实例 ) 进行 通信 的 消息 或 程序 类 型 。 

* component 类 型 ， 用 于 定义 本 地 端口 、 变 量 、 常 量 和 一 个 给 定 组 件 类 型 的 
MTC 或 PTC 的 定时 器 。 

e verdict type， 是 一 种 所 有 可 能 作为 测试 案例 结果 的 判决 枚 举 类 型 。 

e any type， 是 所 有 TTCN-3 类 型 的 联合 类 型 ， 用 于 在 已 知 具体 数据 时 指定 应 
评估 的 通用 数据 。 

* default 类 型 ， 用 于 处 理 默认 选项 的 类 型 。 

TTCN-3 还 支持 有 序 的 结构 类 型 ， 如 record, record of , set, set of, enumera- 
ted 和 union。 对 于 基于 过 程 的 通信 、 程 序 的 签名 也 可 定义 。 签 名 的 特点 是 具有 名 
称 、 可 选 参数 列表 、 可 选 返回 值 和 可 选 异 常 列 表 。 

一 个 表示 给 定 类 型 的 测试 数据 的 template 用 于 定义 所 发 送 或 接收 的 消息 。 模 
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板 定 义 了 要 传输 的 不 同 值 或 一 组 评估 接收 消息 是 否 匹配 的 值 (通过 使 用 通配符 
或 其 他 匹配 机 制 )。 将 接收 消息 与 模板 进行 比较 ， 如 果 消息 为 模块 所 定义 的 一 组 
值 的 某 个 值 ， 则 模板 匹配 。 对 于 基本 类 型 、 用 户 定义 类 型 或 程序 签名 ， 可 指定 模 
板 。 在 其 他 模板 定义 中 ， 这 些 类 型 可 参数 化 、 重 复 使 用 或 修改 。 

在 此 没有 给 出 TTCN-3 的 所 有 细节 。 想 要 进一步 了 解 该 技术 ， 请 参见 标准 化 
AB ET, RWW IT 和 工具 书 。 


10.3 ”入门 示例 


接 下 来 ， 为 深入 了 解 该 技术 ， 在 此 给 出 一 个 TTCN-3 中 小 测试 规范 。 即 用 于 
三 角形 分 类 的 由 G. J. Myers ™ 提出 的 著名 三 角形 测试 示例 。 根 据 三 角形 的 边 长 可 
分 为 不 等 边 三 角形 、 等 腰 三 角形 和 等 边 三 角形 。 另 外 ， 用 于 定义 三 角形 的 数据 可 
能 是 错误 的 ， 或 即使 数据 正确 但 不 是 用 于 定义 三 角形 。 

当 测 试 三 角形 分 类 的 软件 时 ， 必 须 提 出 SUT 的 类 型 问题 。 在 TTCN-3 rp, 3x 
种 情况 下 可 通过 定义 Triangle 以 组 成 3 个 不 受 限制 的 integer 值 和 通过 Classifica- 
tion 来 指定 可 能 的 三 角形 类 型 来 明确 定义 SUT 的 类 型 : 

type integer Triangle [3] (0.. infinity) ; 

// 定 义 一 个 三 角形 的 所 有 个 数 

type ennumerated Classification | 

// 三 角形 的 属性 

syntacticallyIncorrect , 

noTriangle, 

scaleneTriangle , 

isoscelesTriangle , 

equiateralTriangle 

| 

接 下 来 ， 根 据 在 输入 方向 发 送 Triangle 值 和 在 输出 方向 发 送 classification ff 
的 基于 消息 的 端口 可 定义 SUT 的 接口 DetermineTriangle。SUT 的 测试 组 件 采 用 由 
测试 组 件 类 型 TriangleleTester 定义 的 端口 : 

type port DetermineTriangle message 

| out Triangle;in Classification | 

//SUT 的 接口 

type component TriangleTester 

| port DetermineTriangle b | 

// 测 试 组 件 
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这 些 定义 已 足以 将 SUT 的 具体 测试 定义 为 由 检查 是 否 为 一 个 具体 等 边 三 角 
形 的 测试 案例 Simple KHR: 
testcase Simple( ) runs on TriangleTester | 
// 一 个 简单 测试 案例 
b. send( Triangle; |2,2,2] ) ; 
// 所 要 检查 的 三 角形 
b. receive( Classification ; equilateralTriangle ) ; 
// 期 望 响应 
setverdict( pass) ;// 成 功 测试 
| 
上 述 给 定 的 测试 规范 是 将 测试 数据 和 测试 行为 紧密 相连 ,但 这 样 既 没有 太 多 
用 处 也 不 易 维护 。 另 一 种 方法 是 将 从 测试 行为 中 分 离 出 测试 数据 。 为 此 ， 又 定义 
了 一 个 包含 三 角形 3 个 整数 值 及 其 分 类 的 类 型 TestVector。 然 后 再 以 vaildl val- 
id2 等 模板 形式 来 定义 具体 的 三 角形 3 个 整数 值 以 及 分 类 。 
type record TestVector | 
// 输 入 和 期 望 输出 的 结合 
Triangle input, 
Classification output 
| 
template TestVector valid] ; = | {2,2,2}, 
isoscelesTriangle | ; 
// 等 
template TestVector invalid] ; = | {1,0,3} ,noTriangle} ; 
/无效 的 三 角形 
template TestVector invalid2: = | {1,2,3} ,noTriangle} ; 
// 等 
另外 ， 还 需 定义 一 个 如 何 评估 SUT 非 期 望 响 应 或 无 响应 的 测试 规范 。 通 过 
接收 任何 语句 (alt 语句 中 第 2 个 选项 ) 来 处 理 非 期 望 响应 ， 只 有 在 选择 了 正确 
响应 (alt 语句 中 第 1 个 选项 ) 之 后 才 作 出 评估 。 为 确定 SUT 无 响应 ， 只 要 SUT 
接收 到 一 个 三 角形 分 类 队列 ， 则 一 个 本 地 定时 器 noResponse 被 定义 、 启 动 并 观 
察 是 否 超时 : 
testcase Extended( TestVector tv ) runs on TriangleTester 
| 
// 人 参数 化 测试 


timer noResponse: =1. 0; 
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// 定 时 器 超时 1 秒 
b. send( tv. input ) ;noRespones. start; 
alt | 
[ ]b. receive( tv. output) | setverdict( pass) ; | 
/ / 38g £B fS] YE WA n] Jv 
[ ] b. receive | setverdict ( fail) ; | 
// 非 期 望 的 错误 响应 
| ]noResponse. timeout | setverdict( fail) ; | 
// 完 全 没有 响应 
| 


| 
可 对 该 示例 进一步 扩展 ， 例 如 ， 采 用 参数 化 使 得 测试 数据 更 加 灵活 或 通过 
SUT 的 两 个 并 行 测试 组 件 队 列 来 检查 是 否 可 并 发 使 用 。 


通过 利用 TTCN-3 TA”), ， 可 开发 、 实 现 并 有 效 执行 用 于 三 角形 定义 示例 的 
TTCN-3 测试 规范 ( 见 图 10. 3)。 


测试 控制 台 


对 话 管理 程序 

















图 10.3 ”基于 Eclipse 的 一 个 TTCN-3 集成 开发 环境 


10.4 TTCN-3 语义 及 其 应 用 


TTCN-3 的 语义 是 由 一 个 操作 语义 ' 定义 的 ， 以 一 种 直观 而 明确 的 方式 来 定 
X. TTCN-3 行为 的 含义 。 这 本 身 并 不 是 一 种 形式 化 语义 ， 因 此 形式 化 检验 和 验证 
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的 能 力 是 有 限 的。 事实 上 ，TTCN-3 的 操作 语义 对 TTCN-3 模块 的 执行 提供 了 一 
种 面向 状态 的 视图 。 该 视图 仅 定义 了 TTCN-3 中 行为 的 含义 ， 即 功能 、 可 选 步 
长 、 测 试 案例 、 模 块 控制 和 如 通信 操作 或 控制 流 语句 等 行为 描述 语句 。 

操作 语义 利用 了 所 要 执行 的 TTCN-3 模块 的 控制 流 图 。 控 制 流 图 是 一 种 由 描 
述 以 控制 流 图 表示 的 行为 执行 过 程 中 可 能 存在 的 控制 流 的 标记 节点 和 标记 边 组 成 
的 有 向 图 。 操 作 语义 用 来 构建 运行 环境 ( 见 下 节 )、 测 试 解决 方案 ( 见 文献 
[59])， 和 为 进一步 检验 和 验证 所 需 的 形式 化 语义 定义 提供 基础 。 

分 析 和 提高 TTCN-3 测试 套件 的 可 靠 性 是 一 个 主要 的 研究 方向 。 因 此 ， 应 对 
TTCN-3 的 语义 进行 约束 扩展 ， 以 实现 在 TTCN-3 测试 套件 中 数据 和 行为 更 为 精 
确 。 在 文献 [30] 中 简要 概述 了 出 于 维护 目的 的 优化 测试 质量 ， 其 中 定义 了 构成 
确定 代码 好 坏 并 重 构 测 试 套件 评估 和 自动 调整 基础 的 度量 、 模 式 和 反 模 式 ” 。 
在 文献 [32] 中 提出 了 完善 测试 套件 设计 、 维 护 和 自动 验证 的 使 用 准则 。 文 献 
[33] 中 提出 了 一 种 分 析 和 优化 基于 TTCN-3 的 测试 套件 中 测试 数据 范围 的 方法 。 

此 外 ， 还 开展 了 验证 TTCN-3 中 测试 行为 的 研究 。 特 别 是 ,已 能 够 识别 如 在 
测试 案例 中 和 测试 案例 之 间 测 试行 为 不 一 致 的 行为 异常 。 例 如 ， 在 文献 L34] 中 
已 明确 了 响应 不 一 致 性 ， 并 通过 模型 校 验 进行 分 析 。 

在 基于 TTCN-3 的 形式 化 测试 方面 ， 另 一 个 主要 的 研究 方向 是 测试 工人 式 实 
时 系统 : 在 文献 [35 ] 中 ， 提 供 了 一 种 仿真 时 间 下 基于 主机 的 测试 语义 以 及 一 种 
用 于 TTCN3 分 布 式 测试 的 仿真 时 间 解 决 方案 。 文 献 [36] 中 定义 了 一 种 用 于 扩展 
的 TTCN-3 中 实时 系统 测试 的 基于 时 间 自 动机 的 形式 化 语义 。 其 中 某 些 概念 用 于 
文献 [24] 所 提出 的 实时 性 TTCN-3 中 的 一 部 分 。 文 献 [35 ] 中 提出 了 测试 租 入 式 系 
统 中 连续 行为 的 概念 ， 并 提供 了 一 种 基于 时 间 分 区 测试 (TPT) 方法 中 所 用 的 流 
处 理 功能 的 形式 化 语义 。 这 随后 进一步 扩展 为 一 种 基于 混合 自动 机 的 语义 定义 ， 
且 在 文献 [24] 中 增加 了 用 于 TTCN-3 的 实时 性 概念 。 


10.5 TTCN3 的 分 布 式 测试 平台 


在 一 个 支持 多 个 可 能 异 构 的 测试 接口 和 设备 上 同时 进行 测试 的 测试 平台 上 可 实 
BL TTCN-3 的 所 有 潜能 。 通 过 该 测试 平台 ， 不 仅 可 以 在 使 用 互联 测试 设备 的 测试 系统 
中 了 解 SUT 的 所 有 可 能 分 布 式 和 异 构 配 置 ， 而 且 还 能 解决 测试 系统 的 性 能 和 可 扩展 
性 的 问题 。 

现 已 利用 一 个 公共 对 象 请 求 代理 体系 架构 (CORBA) 插件 开发 了 一 个 TTCN-3 
的 分 布 式 测试 平台 。 利 用 该 平台 上 不 仅 可 以 进行 性 能 、 可 扩展 性 和 负载 以 及 压力 的 测 
试 ， 还 可 以 进行 非 分 布 式 功能 测试 或 只 需 进行 单个 设备 和 /或 接口 的 测试 。 在 此 ， 并 
不 详细 描述 所 有 实现 细节 ， 而 只 是 简要 概述 其 中 最 主要 的 方面 ( 见 图 10.4) 。 
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测试 控制 台 是 该 平台 的 控制 核心 ， 同 时 也 是 一 个 集成 开发 环境 (IDE), FT 
为 特定 的 TTCN-3 测试 案例 提供 支持 ,创建 测试 会 话 ， 部 署 容 器 中 的 测试 套件 ， 
并 控制 测试 执行 过 程 。 

守护 进程 是 在 任何 测试 设备 上 安装 的 单独 运行 的 进程 。 该 进程 可 管理 属于 不 
同 会 话 的 容器 。 这 些 容器 在 测试 控制 台 和 测试 组 件 之 间 进 行 调节 ， 为 双方 提供 透 
明 服 务 ， 包 括 事务 支持 和 资源 共享 。 从 测试 角度 来 看 ， 这 些 容器 是 目标 操作 环 
境 ， 且 符合 TTCN-3 测试 执行 环境 的 TCI 标准。 在 一 个 容 髓 内 包括 以 下 特定 测试 
系统 实体 : 

。TTCN-3 引擎 (TE) 用 于 执行 TTCN-3 编译 代码 。 该 实体 可 管理 用 于 测试 
控制 、 行 为 、 组 件 、 类 型 、 值 和 实现 TTCN-3 语义 的 队列 等 不 同 子 实体 。 

e 组 件 处 理 程序 (CH) 用 于 人 处理 不 同 测试 组 件 之 间 的 通信 。CH 接口 包括 创 
建 、 开 始 和 停止 测试 组 件 的 操作 ; 建立 测试 组 件 之 间 的 连接 (上 映射、 链接 ); 处 
理 通信 操作 发送、 接收 、 调 用 和 回复 ) 以 及 管理 所 作出 的 裁决 。 创 建 组 件 的 
信息 及 其 物理 位 置 存储 在 容器 内 的 资源 库 中 。 

e 测试 管理 (TM) 用 于 管理 测试 的 执行 。 该 实体 可 实现 执行 测试 的 操作 并 
提供 和 设置 模块 参数 和 外 部 常量 ， 同 时 还 可 跟踪 测试 日 志 记录 。 

e 编码 /解码 (CD) 用 于 根据 假设 或 给 定 的 数据 类 型 来 编码 和 解码 值 。 每 个 
TTCN-3 值 都 编码 为 字符 串 与 SUT 进行 通信 ， 而 接收 到 的 数据 被 解码 成 抽象 的 
TTCN-3 类 型 和 值 。 

容器 内 的 子 实体 都 通过 TRI 和 TCI 进行 功能 界定 ， 同 时 通过 CORBA 平台 相 
互通 信 。 会 话 管理 可 在 测试 部 署 〈 而 不 是 测试 规范 ) 中 协调 所 选择 的 测试 组 件 
(RATA). TRI 系统 适配器 可 实现 与 特定 SUT 的 通信 和 定时 ， 这 通常 是 由 测 
试 开 发 人 员 提 供 的 。TCI 测试 适配器 可 用 于 实现 适应 测试 环境 和 测试 设备 ， 这 通 
常 是 由 设备 供应 商 提供 的 。 

整个 测试 执行 平台 是 在 Java JDK1.4 中 实现 的 ' 引 。 采 用 由 JDK1.4 开发 的 
CORBA 来 实现 不 同 容 器 间 的 通信 。 按 照 标准 规范 有 助 于 优化 测试 执行 中 常见 操 
作 的 执行 环境 。 在 TTCN-3 平台 上 采用 完全 Java 实现 的 优势 在 于 使 得 硬件 与 操作 
系统 无 关 ， 从 而 使 得 能 够 在 不 同 场景 进行 测试 ， 并 为 不 同 的 SUT 部 署 配置 。 


10.6 案例 分 析 1: OSA/ 增 值 服务 测试 


接 下 来 ， 介 绍 表明 应 用 TTCN-3 来 测试 各 种 目标 系统 的 不 同 案例 分 析 。 第 一 
个 案例 是 关于 测试 开放 式 服务 架构 (OSA) /Parlay'”? IR- OSA/Parlay 定义 了 一 
系列 由 第 3 代 移 动 系统 合作 项 目 (3GPP) 、ETSI 和 Parlay 小 组 联合 开发 的 标准 应 
用 程序 接口 (AIP) 来 方便 地 创建 通信 服务 。 该 AIP 为 现 有 网 络 提供 一 个 通用 接 
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口 ， 以 支持 软件 开发 人 员 来 开发 电信 应 用 程序 。 

在 客户 端 和 服务 器 之 间 的 通信 接口 明确 指定 情况 下 ， 即 给 定 如 IDL 或 WSDL 
的 接口 定义 语言 ，TTCN-3 尤其 适合 于 测试 客户 端 一 服务 器 应 用 程序 。 基 于 这 些 
规范 ， 可 产生 服务 器 向 其 客户 端 提供 的 操作 的 功能 测试 以 及 利用 服务 器 的 客户 端 
应 用 程序 的 功能 测试 。 

在 图 10.5 中 描述 了 OSA/Parlay 的 架构 。0SA/Parlay 定义 了 3 种 不 同类 型 的 


组 件 : 应 用 程序 、 提 供 服务 功能 的 服务 器 以 及 框架 : 






E 


a) 









核心 网 络 





公共 交换 电话 网 络 
(PSTN) 





图 10.5 OSA/ 增 值 服务 体系 架构 


© 应 用 程序 表示 利用 核心 网 络 的 任何 业务 应 用 程序 。 应 用 程序 可 连接 和 认证 
框架 。 在 成 功 认证 后 ， 应 用 程序 可 利用 该 框架 进行 服务 搜索 。 

© 网 络 提供 的 以 及 应 用 程序 请 求 的 服务 称 为 服务 功能 特性 (SCF)。 应 用 程 
序 可 通过 调用 接口 来 使 用 一 个 在 OSA 技术 规范 中 描述 的 SCF, 

e 奉 架 可 为 应 用 程序 提供 服务 目录 和 连接 工厂 ， 以 及 SCF 和 应 用 程序 之 间 的 
媒介 。 应 用 程序 所 需 了 解 的 只 是 工厂 的 位 置 以 及 需要 哪些 功能 。 
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本 案例 分 析 的 目的 是 实现 一 个 基于 TTCN-3 的 测试 框架 来 测试 基于 OSA/Par- 
lay 的 服务 和 应 用 程序 。TTCN-3 用 于 规范 框架 操作 、 服 务 和 /或 API 应 用 的 测试 。 
测试 系统 具有 以 下 两 个 不 同 的 作用 : 

e 通过 OSA/Parlay API 与 框架 或 服务 通信 的 服务 消费 者 的 作用 。 

e 框架 或 验证 应 用 程序 行为 的 服务 的 作用 。 

本 案例 分 析 中 测试 的 应 用 程序 只 是 利用 OSA/Parlay 来 建立 连接 到 网 络 的 两 
个 用 户 之 间 呼 叫 的 一 个 小 应 用 程序 。 测 试 系统 模拟 用 于 建立 两 个 用 户 之 间 呼 叫 的 
SCF 行为 。 

测试 TTCN-3 中 0SA/Parlay 应 用 程序 的 环境 工具 是 将 TTCN-3 应 用 到 由 测试 
技术 提供 的 Java 编译 器 TT3 77 fl Ei Fraunhofer FOKUS 提供 的 一 个 IDL-to-TTCN-3 
插件 和 一 个 CORBA 测试 适配器 |。 

第 一 步 ， 在 利用 基于 标准 化 映射 规则 "的 IDL-to-TTCN-3 插件 的 TTCN-3 中 
已 编译 OSA/Parlay IDL 的 规范 。 这 一 步 的 结果 是 在 TTCN-3 中 获得 OSA/Parlay 接 
口 的 数据 类 型 和 结构 信息 。 第 二 步 ， 在 TTCN-3 中 已 规范 应 用 程序 在 所 选 运 行 环 
境 中 的 功能 行为 。 运 行 环境 包括 在 OSA/Parlay 接口 调用 的 操作 、 超 时 、 上 默认 行 
为 等 。 每 一 个 测试 案例 包括 前 置 条 件 、 测 试 本 体 、 后 文 和 最 终 判决 赋值 。 最 后 一 
步 ， 规 范 每 种 调用 方法 和 发 送 接收 消息 的 具体 测试 数据 。 

选择 测试 工具 混合 方法 是 由 于 测试 前 导 的 行为 较为 复杂 ， 即 在 本 案例 中 模拟 
包含 测试 工具 (在 TTCN-3 中 ) 的 整个 OSA/Parlay 框架 的 复杂 行为 不 可 行 。 因 
此 在 测试 工具 链 中 集成 了 一 种 OSA/Parlay 框架 的 Java 实现 来 处 理 测试 前 导 (JÈ 
其 是 认证 和 服务 搜索 ) 。 在 TTCN-3 中 实现 反映 测试 场景 中 主要 问题 的 实际 测试 
本 体 。 

本 案例 分 析 表 明 如 何 利用 TTCN-3 来 开发 请 求 -响应 场景 下 利用 同步 通信 机 制 
的 系统 和 服务 的 自动 测试 。 此 外 ， 还 表明 语言 映射 (本 例 中 为 IDL) 为 有 效 生 成 
与 接口 相关 的 测试 结构 提供 了 一 种 有 效 方 式 。 最 后 但 并 非 不 重要 ， 本 案例 分 析 还 
表明 不 仅 TTCN-3 的 解决 方案 非常 实用 ， 而 且 TTCN-3 的 开放 系统 架构 还 可 以 很 
容易 地 与 非 TTCN-3 组 件 集成 。 进 一 步 对 案例 进行 研究 发 现 测试 模式 的 定义 经 常 
应 用 于 通信 服务 基础 设施 的 测试 方案 中 | 。 


10.7 ZBI: IMS 装置 测试 


本 案例 分 析 的 目的 是 将 TTCN-3 应 用 于 定义 IMS' 1 设备 的 性 能 测试 。IP 多 媒 
体 子 系统 (IMS) 是 一 个 用 于 移动 和 固定 互联 网 协议 (IP) 服务 的 、 开 放 的 、 标 
准 化 的 、 操 作 友 好 的 多 媒体 网 络 架 构 。 通 过 一 个 统一 接口 ，IMS 可 支持 为 无 线 或 
有 线 用 户 设备 上 的 终端 用 户 提供 一 系列 丰富 的 服务 。 
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图 10.6 中 给 出 了 IMS 的 参考 架构 。IMS 定义 了 用 户 设 备 (UE) 和 代理 呼 
叫 /会 话 控制 功能 (P-CSCF) 之 间 的 信号 流量 是 通过 一 个 对 应 于 UE 的 IPSec 通道 
( 即 通过 安全 IP) 来 实现 的 。P-CSCF 是 一 种 IMS 终端 第 一 个 触 点 的 会 话 启动 协议 
代理 (SIP 为 一 种 如 控制 网 络 中 多 媒体 会 话 “ 的 协议 ) 。 注 册 过 程 中 该 协议 代理 被 
分 配 到 IMS 终端 ， 同 时 在 注册 期 间 不 会 变化 。 询 间 呼 叫 / 会 话 控制 功能 (I-CSCF) 
可 通过 查询 统一 归属 用 户 服务 器 (HSS) 来 检索 用 户 位 置 ， 然 后 将 SIP 请 求 路 由 到 
其 分 配 的 服务 呼叫 /会 话 控制 功能 (S-CSCF). S-CSCF 是 信号 平面 的 中 心 节 点 ， 决 
定 了 SIP 信息 将 被 转发 到 哪个 应 用 程序 服务 器 以 提供 相应 服务 。 


A 
= 
= 
E 
E 


NGSI/N.LSd 


LÀ (i) M Cay m 
IP 传 输 (访问 和 核心 ) Qro) 


图 10.6 IMS 参考 架构 (来 自 3GPP) 





该 案例 分 析 的 目的 是 在 定义 了 根据 精确 业务 类 型 和 内 容 到 SUT 的 输入 激励 
信和 号、 业务 类 型 的 统计 分 布 、 到 达 率 以 及 其 他 相关 参数 的 TTCN-3 中 开发 IMS 的 
性 能 测试 。 这 些 测试 指定 了 提供 给 SUT 的 流量 ， 定 义 了 所 需 采 取 的 措施 ， 以 及 
如 何 提交 结果 。 

性 能 测试 可 测量 IMS 系统 控制 平面 的 能 力 。 这 包括 相互 之 间 执 行 基于 SIP 的 
信号 传输 组 件 以 及 这 些 组 件 访问 的 数据 库 。 

呼叫 是 指 由 IMS 系统 来 标记 和 管理 的 一 个 或 多 个 用 户 之 间 的 关系 。 用 户 利 
用 IMS 的 意图 是 进行 调用 ， 所 以 在 IMS 测试 中 获得 实际 行为 最 显而易见 的 方式 
是 对 呼叫 行为 建 模 。 在 此 对 于 一 个 传统 的 音频 或 多 媒体 会 话 采用 一 种 可 对 所 建立 
呼叫 行为 进行 描述 的 语音 呼叫 模型 。 图 10. 7 给 出 了 语音 呼叫 所 产生 的 消息 队列 。 
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6. 请 求 
7.100 (尝试 ) 
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9. 授权 QoS 资源 


10. 183 (会 话 过 程 ) 
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i 40. 响应 确认 


图 10.7 IMS 调用 序列 图 


呼叫 场景 的 是 在 ETSI i SIP 一 致 性 测试 套件 和 IETF” fy SIP 测试 规范 基 
础 上 实现 的 。 系 统 类 型 和 一 致 性 测试 的 模板 定义 在 创建 IMS 系统 输入 的 性 能 测 
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试 规范 中 重用 。 

呼叫 场景 采用 了 两 个 建立 呼叫 会 话 的 UE: 其 中 一 个 通过 将 INVITE 消息 发 
送 到 IMS 网 络 而 起 到 CALLER 的 作用 ; 另 一 个 通过 接受 呼叫 请 求 并 相应 响应 而 
起 到 CALLEE 的 作用 。 

性 能 测试 的 规模 取决 于 呼叫 建立 过 程 的 并 行 运行 。 在 TTCN-3 中 ，UE (呼叫 
者 和 被 呼叫 者 ) 作为 通过 系统 组 件 与 SUT 交互 的 PTC 而 实现 。 在 本 案例 分 析 中 ， 
实现 两 种 负载 测试 的 技术 ， 其中， 在 SUT 处 于 负载 不 断 增 大 的 情况 下 测量 和 分 
析 其 响应 : 

1) 应 用 PTC 。 该 技术 是 一 种 在 TTCN-3 中 实现 并 行 行为 的 显而易见 的 方法 。 


呼叫 者 和 被 呼叫 者 同时 作为 PTC 且 并 行 执行 。 遗 憾 的 是 ， 这 种 技术 也 存在 缺点 ， 
即 过 多 测试 组 件 的 创建 会 占用 太 多 的 硬件 资源 ( 内存、CPU)， 从 而 可 能 会 导致 


2) 呼叫 建立 后 测试 组 件 重 用 。 这 种 技术 通常 与 第 一 种 技术 配合 使 用 ， 表 明 
一 旦 测试 组 件 完 成 呼叫 建立 过 程 ， 则 可 重用 于 下 一 次 呼叫 (当然 ， 具 有 新 的 标 
识 符 和 数据 集 ) 。 因 此 ， 只 有 一 个 测试 组 件 即 可 在 1s 内 建立 多 次 呼叫 ， 从 而 会 增 
大 总 工作 量 。 

在 案例 分 析 中 评估 的 关键 性 能 参数 如 下 : 

e 每 秒 发 送 的 邀请 个 数 (INVITE 消息 ) ; 

e 负载 情况 下 测量 SUT 时 的 反应 延迟 。 

图 10. 8 中 给 出 了 80s 时 间 内 的 每 秒 INVITES 个 数 。 

45 


40 


请 求 个 数 





0 20 40 60 80 100 120 140 160 180 
从 12:13:40 开 始 后 的 时 间 基 准 /4 


图 10.8 每 秒 请 求 个 数 
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图 10. 9 中 给 出 了 在 每 秒 35 INVITES 的 负载 情况 下 ，SUT 反应 延迟 的 变化 。 
通过 比较 这 两 个 图 ， 可 确定 IMS 系统 内 部 计算 需 更 多 时 间 。 

该 案例 分 析 表 明 TTCN-3 的 规范 和 执行 功能 不 仅 可 用 于 功能 测试 ， 还 可 用 于 
性 能 和 负载 测试 。 利 用 TTCN-3 的 功能 通过 可 对 不 同 测试 行为 赋值 的 PTC 来 规范 
分 布 式 和 并 发 测试 的 设置 。 此 外 ， 本 案例 分 析 还 表明 TTCN-3 具有 文献 [11] 中 定 
义 的 记录 格式 的 功能 ， 以 使 得 测试 报告 中 包含 基于 图 的 测试 执行 评估 和 SUT 
定时 。 

对 本 案例 进一步 研究 可 得 到 由 硬件 供应 商 提供 的 对 IMS 具体 设备 的 评估 。 
在 文献 [44] 中 给 出 了 更 多 结果 。 


延迟 AS 





0 20 40 60 80 100 120 140 160 180 
从 12:13:40 开 始 后 的 时 间 基 准 /s 


图 10.9 下 载 时 IMS 系统 反应 延迟 


10.8 小 结 


TTCN-3 是 适用 于 范围 广泛 的 各 种 测试 系统 的 唯一 标准 化 测试 规范 和 实现 技 
术 。 在 过 去 几 年 中 ，TTCN-3 取得 了 很 大 发 展 : 现 已 有 大 量 支 持 不 同 规模 TTCN-3 
的 工具 。 基 于 TTCN-3 可 产生 各 种 测试 解决 方案 。 同 时 还 计划 将 TTCN-3 应 用 于 
如 科学 计算 或 云 计算 等 其 他 领域 。 

然而 ， 仍 然 需 要 做 很 多 工作 。 尤 其 是 ， 为 有 效 采 用 该 测试 技术 ， 需 要 对 用 户 
进行 培训 。 所 建立 的 TTCN-3 认证 证 书 “ 提供 了 一 个 良好 的 基础 ， 但 是 这 需要 提 
供 更 多 的 阅读 和 培训 材料 以 及 培训 课程 。 

另外 ， 即 使 有 免费 的 帮助 工具 ， 但 在 大 学 中 很 少 有 TTCN-3 的 相关 课程 。 尤 
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其 是 ， 还 不 足以 传播 TTCN-3 的 相关 知识 及 其 成 功 案例 ， 但 还 是 应 提供 一 个 包括 
TTCN-3 应 用 准则 和 最 佳 实践 的 全 面 方法 。 

为 进一步 采用 TTCN-3 ， 需 要 一 个 坚实 的 基础 来 不 断 维 护 和 发 展 TTCN-3。 尽 
管 TTCN-3 已 能 支持 一 系列 非常 详尽 而 功能 强大 的 测试 概念 ， 但 仍 有 很 多 要 求 ， 
例如 在 与 SUT 系统 交互 时 ， 必 须 支 持 面 对 对 象 的 数据 类 型 。 然 而 ， 和 过 去 一 样 ， 
在 被 添加 到 核心 语言 和 执行 接口 或 一 个 TTCN-3 的 扩展 包 ( 如 果 不 是 一 个 新 的 执 
行 接口 ) 之 前 ， 每 个 新 的 概念 都 必须 经 过 严格 的 审查 和 讨论 。 
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11.1 简介 


目前 所 用 的 大 多 数 系统 都 缺乏 全 面 的 规范 或 充分 使 用 规范 ， 甚 至 包括 未 指定 
的 组 件 。 实 际 上 ， 广 为 流传 的 基于 组 件 的 软件 设计 风格 通常 都 是 非 规范 的 系统 ， 
这 是 因为 大 多 数 的 库 只 能 提供 组 件 的 很 少 部 分 规范 。 此 外 ， 通 常 的 修改 和 最 后 一 
刻 的 改变 都 几乎 不 能 列 和 人 系统 规范 。 在 通信 领域 可 观察 到 这 种 困境 : 通信 协议 的 
规范 通常 是 作为 与 实际 实现 没有 形式 化 连接 的 自然 语言 文档 。 这 就 阻碍 了 任何 一 
种 类 型 的 形式 化 验证 方法 的 应 用 ， 如 基于 模型 的 测试 “或 模型 校 验 ”， 且 难以 
及 时 更 新 文档 。 实 际 上 ， 在 实践 过 程 中 ,这些 规范 根本 不 时 常 更 新 ， 而 使 得 所 有 
系统 很 快 成 为 遗产 系统 。 为 此 ， 提 出 自动 机 学 习 技 术 通 过 允许 构建 并 随后 自动 更 
新 行为 模型 来 解决 这 种 问题 ”*“ 。 这 很 早 之 前 就 在 计算 机 电话 集成 系统 
(CTI) ”3 的 具体 设置 中 进行 了 阐述 。 在 此 ， 可 通过 观察 系统 行为 对 测试 队列 的 
反应 。 在 该 设置 下 ,行为 可 理解 为 由 分 别 表示 激励 和 反应 的 符号 组 成 的 字母 表 作 
为 语言 关键 字 的 测试 激励 和 相应 反应 组 成 的 队列 。 自 动机 学 习 的 目的 是 为 了 创建 
有 限 状态 自动 机 来 描述 /近似 该 语言 。 

图 11. 1 给 出 了 学 习 过 程 的 一 般 设计 方案 ,其 中 将 其 建 模 为 文献 [38 ] 中 介绍 
的 扩展 过 程 描 述 示意 图 (XPDD) 。 由 图 可 知 ， 学 习 过 程 需要 一 个 用 于 学 习 系 统 
(SUL, AWM) 的 抽象 推理 字母 表 和 测试 驱动 程序 ， 并 在 提交 最 终 模型 ( 右 侧 ) 
之 前 产生 一 系列 假设 自动 机 。 字 母 表 和 一 个 合适 的 测试 驱动 程序 是 系统 需要 事先 了 
解 的 信息 ， 相 比 于 其 他 常用 的 基于 信息 追溯 的 方法 ， 这 种 要 求 是 相当 低 的 。 在 中 间 
部 分 主要 描述 学 习 过 程 本 身 : 自动 机 学 习 通过 交替 局 部 搜索 (建立 封闭 性 和 一 致 
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PE) 和 测试 (近似 ) 等 效 性 〈 如 通过 一 致 性 测试 ) 产生 相应 模型 。 由 失败 等 效 测 
试 产生 的 反例 用 于 引导 下 一 轮 的 局 部 搜索 。 只 要 激励 和 反应 所 选择 的 解释 导致 一 个 
确定 性 语言 ， 则 这 种 技术 非常 适用 于 反应 式 系统 。 对 于 这 种 系统 ， 自 动机 学 习 可 看 
作 常 规 外 推 法 ， 即 构建 一 个 与 观测 保持 一 致 的 “最 佳 ” 常 规模 型 的 技术 。 这 类 似 
于 众所周知 的 多 项 式 插值 法 ， 其 中 用 多 项 式 代 替 有 限 自动 机 ， 用 函数 代替 反应 系 
统 。 正 如 在 此 ， 外 推 的 质量 而 非 适 用 性 取决 于 所 考虑 系统 的 行为 结构 。 然 而 ， 由 于 
反应 系统 中 固有 的 大 量 自由 度 ， 自 动机 学 习 的 计算 成 本 要 比 多 项 式 插值 法 大 得 多 。 
因此 ， 自 动机 学 习 在 实践 中 的 成 功 很 大 程度 上 取决 于 所 采用 的 开发 所 学 系统 具体 参 
数 的 优化 方法 。 一 个 成 功 的 应 用 场景 请 参见 文献 [42，44] 。 

图 11.2 给 出 了 实践 中 如 何 进行 学 习 设置 的 一 个 高 层 概述 : 一 个 学 习 算 法 
(图 中 右 侧 ) 通过 一 个 测试 驱动 程序 与 一 个 SUL 实例 相连 (图 中 左 侧 ) ， 其 中 利 
用 系统 装置 (如 由 接口 描述 提供 ) 在 学 习 过 程 中 进行 实际 系统 的 调用 。 测 试 驱 
动 程序 也 在 学 习 算法 领域 中 的 抽象 符号 和 SUL. 领域 中 的 具体 调用 之 间 具 有 调节 
作用 。 在 11.4 节 中 将 进行 详细 介绍 。 






设置 学 习 算法 





通过 一 次 性 测试 来 
进行 等 效 测试 





一 一 一 一 一 一 一 一 玫 一 一 一 一 一 4 


图 11.1 外 推算 法 的 常见 结构 ( 建 模 为 XPDDG5] ) 
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抽象 接口 符号 
开始 转换 (valid,id) 
ok 







«xs: complexType name=“Login”> 
<xs: sequence> 
«xs: element minOccurs="0" name=" 










«xs: element minOccurs="0" name=" 
了 
«xs: complexType name="Begin Transact > 
<as: sequence> 
«xs: element minOccurs="0" name=" 
<xs: element minOccurs="0" name=" 
«xs: element minOccurs="0" name=" 





PoTM web 服 务 


开始 转换 (valid,id)/ok 


图 11.2 一 个 示例 设置 的 示意 图 


本 章 总 结 回 顾 了 自动 机 学 习 的 本 质 、 主 要 挑战 、 其 他 形式 、 可 能 的 解决 方案 
以 及 案例 分 析 说 明 。 并 分 析 得 出 理论 上 研究 非常 透彻 的 主动 学 习 技 术 将 会 成 为 一 
种 用 于 实际 系统 开发 的 特别 的 增强 型 应 用 程序 和 重要 工具 。 这 需要 特定 应 用 的 优 
化 方法 来 提高 可 扩展 性 ， 参 数 和 数据 流 的 充分 处 理 、 适 合 的 抽象 机 制 和 测试 技术 
的 充分 适用 性 。 

再 如 主要 关注 连接 器 和 协议 ， 即 行为 与 数据 相互 依赖 的 系统 的 连接 项 目 '” 
情况 下 的 受 限 应 用 场景 具有 特别 的 发 展 前 景 。 在 11.4 节 中 介绍 了 一 个 从 类 似 参 
数 的 路 由 器 中 成 功 外 推 超过 20000 个 状态 的 行为 模型 的 案例 分 析 。 在 另 一 个 实际 
的 案例 分 析 中 ， 表 明 如 何 通 过 运营 企业 实施 ( 见 第 8 章 ) 外 推出 到 目前 为 止 仍 
然 很 小 的 Springer 在 线 会 议 系统 (0CS) 的 编辑 系统 行为 视图 。 所 有 这 些 都 表明 
主动 学 习 都 可 能 支持 这 种 场景 下 应 急行 为 的 控制 。 

BERK, FELL. 2 节 中 简要 介绍 了 常规 外 推 原理 的 基本 形式 以 及 Mealy 状态 
机 模型 。 在 11.3 节 中 ， 简 单 介绍 了 实际 〈 反 应 ) 系统 的 学 习 / 外 推 模型 所 面临 
的 巨大 挑战 ， 随 后 在 11.4 ~ 11.7 节 中 进行 了 详细 讨论 。 接 着 ， 本 章 继续 介绍 了 
下 一 代 学 习 库 (NGLL) ， 特 定 应 用 领域 学 习 算 法 的 可 行 性 建 模 框架 ， 然 后 在 
11.9 节 给 出 了 小 结 和 展望 。 


11.2. 常规 外 推 法 


常规 外 推 法 试图 构建 一 个 确定 性 有 限 状态 自动 机 (DFA), 该 自动 机 与 一 个 
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目标 给 定 自 动机 的 行为 在 给 定 自动 机 观测 及 其 内 部 结构 的 某 些 额 外 信息 基础 上 相 
匹配 。 在 此 ， 只 是 总 结 了 实现 过 程 中 的 一 些 基本 方面 ， 这 是 基于 文献 [4] 中 的 
Augluin 的 学 习 算法 二。 

定义 1 一 个 DFA 是 一 个 元 组 

A-(Q,q,. X ,9,F) 

式 中 ，O0 为 一 个 有 限 状 态 的 非 空 集合 ; p 6 Q 为 初始 状态 ; 区 是 一 个 有 限 字 和 母 
K; 6: Ox X Q 是 转换 函数 ; FOO 为 接受 状态 的 集合 。 

直观 上 ，DFA 是 通过 状态 g e Q 演化 而 来 的 。 只 要 利用 了 一 个 输入 符号 
(或 行为 ) ae 互 ， 自 动机 就 会 根据 C, a) 转换 到 一 个 新 的 状态 。 当 且 仅 当 
DFA 在 从 其 初始 状态 开始 处 理 w 后 达到 一 个 接受 状态 g, e F, M DFA 就 会 接受 


FH wed’. iq a RARER MAS E, DFA 从 状态 9 转换 到 状态 g'。 

六 算法 也 称 为 一 种 主动 学 习 算法 ， 可 以 通过 主动 查询 SUL 来 学 习 DFA。 该 
算法 提出 卢 属 查询 来 测试 特定 字符 串 〈 潜 在 运行 ) 是 否 包含 在 SUL 语言 (运行 
EA) 中， 以 及 等 价 查询 来 比较 与 SUL 等 效 的 语言 中 构建 的 中 间 假 设 自动 机 。 
一 旦 成 功 产生 一 个 等 价 查 询 信号 ， 则 学 习 过 程 成 功 结束 。 

从 实用 的 角度 来 看 ， 这 些 方法 可 看 作 一 种 基于 目标 系统 简单 接口 的 算法 模式 
来 提出 隶属 度 查询 和 等 价 查询 。 通 常 ， 隶 属 度 查询 可 通过 测试 来 实现 ， 而 等 价 查 
询 必 须 在 隶属 度 查询 的 基础 上 不 断 逼 近 。 这 意味 着 所 要 学 习 的 目标 自动 机 在 这 一 
原则 下 准确 定义 : 这 是 由 查询 结果 定义 的 最 小 的 确定 性 自动 机 。 特 别 声明 的 是 ， 
这 并 不 保证 是 正确 的 或 完备 的 。 相 反 ， 其 精度 很 大 程度 上 取决 于 等 价 查询 的 近似 
程度 。 在 等 价 查询 完美 且 目 标 系统 规则 的 情况 下 ， 自 动机 学 习 可 保证 以 目标 系统 
语言 规范 的 最 小 确定 性 自动 机 终止。 

在 其 基本 形式 上 , L* 从 一 个 用 于 处 理 与 考虑 字母 表 (基本 观测 ) 类 似 的 所 
有 字符 的 假设 自动 机 开始 。 也 就 是 说 ， 其 具有 一 个 单个 状态 并 在 查询 结果 的 基础 
上 完善 该 自动 机 ， 然 后 迭代 执行 如 图 11. 1 所 示 的 两 个 主要 步骤 :中 通过 素 属 度 
查询 建立 封闭 性 和 局 部 一 致 性 ，@@ 通 过 等 价 查询 测试 等 价 性 。 由 此 可 见 ， 该 过 程 
会 连续 产生 最 小 状态 的 确定 性 (假设 ) 自动 机 ， 且 与 所 有 查询 结果 保持 一 致 。 
能 够 获得 该 结果 的 关键 在 于 基于 著名 的 Nerode 一 致 性 的 L* 的 状态 双重 表征 69 ， 
这 可 通过 所 谓 的 残 差 语言 "来 确定 最 小 语言 受 体 的 状态 ， 即 表征 相对 于 可 能 前 
级 的 接受 的 可 证 明 的 有 限 语言 集合 

* from below， 是 一 组 访问 序列 (或 可 能 的 前 级 ) S$。 这 些 状 态 的 特点 是 可 能 
过 于 完美 ， 因 为 不 同 的 字符 si, sse S 可 很 好 地 Nerode 同 余 。 也 就 是 说 ， 可 以 接 
受 相同 语言 作为 可 能 的 后 缀 。L' 会 创建 这 样 一 个 包含 对 目标 自动 机 所 有 状态 的 
访问 序列 的 集合 5。 另 外 还 包含 第 2 AREAS- I, HRAN 5 集合 可 覆盖 SUL 
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的 所 有 转换 。 

e frome above， 这 是 通过 对 残 差 语言 的 有 限 预测 ， 也 就 是 说 ， 对 作为 对 所 考 
虑 语言 字符 给 定 一 个 前 级 下 完成 后 级 集合 的 语言 的 有 限 预 测 。 这 个 特点 可 能 过 于 
粗糙 ， 因 为 有 限 预测 可 识别 两 个 截然 不 同 的 残余 语言 。 然 而 ， 可 表明 通过 至 多 
n 一 1 个 可 能 后 缀 能 够 区 别 n 种 不 同 的 残余 语言 。 这 样 一 种 〈 尽 管 一 般 并 非 最 小 ) 
有 限 预 测 的 相应 结构 可 认为 是 L" 的 核心 。 该 结构 的 作用 是 动态 构建 一 个 增长 的 
(后 级 ) 字符 集合 D= <d,，…，d; > 作为 预测 的 目标 ， 其 中 d;:e 允 ”。L" 可 实 
Jil from above 的 状态 q 的 特征 ， 然 后 简化 为 位 矢量 row(s) = «n, cc, rn», 其 
中 re 17T7，4 | ， 用 于 表示 相应 的 字符 d; e D 是 否 属于 gq 的 残 差 语言 : 

r; erow(s) - Te» «dieL,es * dieL» 
式 中 , LÆR SUL 的 语言 ; L 表示 描述 q 的 残 差 语言 ; s 假设 为 从 初始 状态 达到 
q 时 来 自 于 S 的 一 个 字符 。 

第 2 个 重要 特点 是 构建 (Pll) 假设 自动 机 的 关键 : 每 个 发 生 的 位 矢量 都 
对 应 于 其 中 的 一 个 状态 。 这 需要 非常 小 心 以 确保 这 种 结构 可 产生 定义 良好 的 确定 
性 自动 机 。 

最 初 的 假设 自动 机 只 含有 一 个 状态 且 由 空 观察 e 的 隶属 度 查 询 输 出 描述 ， 
S 和 D 都 初始 化 为 ||。 从 而 在 空 字符 在 语言 中 的 情况 下 ， 可 接受 任何 字符 ， 否 
则 无 字符 。 图 11. 1 所 示 的 学 习 过 程 是 按 下 列 执 行 的 : 

局 部 探 案 。 第 1 步 是 两 个 阶段 的 再 次 迭代 。 第 1 阶段 是 检查 构建 的 自动 机 是 否 
在 一 步 转换 下 是 闭合 的 ， 即 从 假设 自动 机 的 每 个 状态 开始 的 每 次 转换 都 终止 于 该 自 
动机 中 一 个 明确 定义 的 状态 。 即 对 于 每 个 reS. 允 ， 存 在 一 个 row(s) =row(r) 的 
seS, fl, S 集合 将 由 相应 的 > 进行 扩展 ， 直 到 实现 封闭 性 。 该 扩展 是 保证 产生 
一 个 唯一 的 固定 点 ， 在 所 处 理 的 行 中 顺序 无 关 。 

第 2 阶段 是 检查 具有 from above 特点 row(s,) =row(s,) 的 相同 位 矢量 的 两 个 
访问 序列 s,, s, eS 是 否 具有 相同 的 输出 转换 ， 同 时 一 个 必须 的 前 置 条 件 来 表示 
相同 状态 。 这 个 称 为 一 致 性 的 条 件 可 形式 化 表示 如 下 : 

Vs;,s;eSVae X .row(si aaa ecoobia * a) =row(s, * a) 
由 上 ， 可 很 容易 地 看 到 ， 可 通过 一 种 使 得 与 转换 前 具有 明显 差别 的 可 区 别 转换 变 
量 的 形式 来 描述 不 同 特征 集 D， 以 此 来 去 除 检测 到 一 致 性 ， 只 需 对 可 通过 该 转换 
标签 来 分 离 可 区 别 转换 上 的 两 个 目标 状态 的 区 别 特征 增加 前 级 。 

但 遗憾 的 是 ， 这 种 对 D 的 增加 可 能 会 破坏 之 前 的 完整 性 ， 因 此 需要 重新 迭 
代 完 成 过 程 。 从 另 一 方面 来 说 ， 这 可 能 又 会 违背 一 致 性 。 然 而 ， 这 两 个 步 又 的 连 
续 迭 代 可 保证 产生 一 个 独 有 的 、 定 义 良 好 的 、 封 闭 的 完备 假设 自动 机 ， 其 状态 均 
由 位 矢量 表征 。 具 体 如 下 : 
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e 假设 自动 机 的 每 个 状态 ge Q 都 至 少 在 一 个 字符 ssS 下 可 达 ， 即 row(s) 
对 应 于 9。 

e 如 果 通 过 一 个 二 的 字符 可 达到 ， 则 认为 veQ。 

o 当 且 仅 当 存在 seS (证 据 ) 且 * 达 到 9 (或 row(s) 与 9 相对 应 ) 和 s*@a 
达到 gq'， 则 存在 一 个 转换 6(g,a) =q'. 

等 价 检测 。 当 建立 封闭 性 和 一 致 性 之 后 ， 等 价 查询 可 检测 假设 自动 机 的 语言 
是 否 与 SUL 的 语言 一 致 。 如 果 成 立 ， 则 学 习 过 程 成 功 终止 。 否 则 ， 等 价 查询 返 
回 一 个 反例 结果 ， 即 可 区 别 假设 和 SUL 的 一 个 字符 。 

反例 处 理 过 程 提 供 了 一 种 新 的 访问 队列 和 新 的 不 同 前 级 来 完善 假设 自动 机 
( 见 图 11. 1) : 在 基本 版 本 中 ， 在 开始 新 一 轮 建 立 封闭 性 和 一 致 性 之 前 ， 该 反例 
的 所 有 前 缀 都 增加 到 5 中 。 这 是 为 了 保证 至 少 存在 一 个 会 对 假设 自动 机 引入 至 少 
一 个 附加 状态 的 不 一 致 性 。 

该 方法 的 正确 性 验证 可 按照 以 下 一 个 不 仅 适用 于 上 4" ， 而 且 适 用 于 所 有 已 知 
衍生 算法 的 简单 模式 名和 ,42,50,51] x 

1) 通过 残余 语言 预测 的 状态 结构 可 保证 假设 自动 机 中 的 状态 个 数 不 会 超过 
满足 所 考虑 语言 的 最 小 确定 性 自动 机 的 状态 个 数 。 

2) 闭 包 过 程 可 保证 假设 自动 机 的 每 次 迁移 都 具有 一 个 访问 队列 。 这 意味 着 
假设 自动 机 的 规模 (状态 个 数 ) 和 所 考虑 语言 的 最 小 确定 性 自动 机 必须 同 构 。 

3) 反例 的 处 理 可 保证 对 于 每 个 反例 ， 至 少 对 假设 自动 机 会 增加 一 个 附加 状 
态 。 但 由 于 1) 和 2) 的 原因 ， 这 种 处 理 一 般 只 能 有 限 发 生 。 

4) 一 旦 假设 自动 机 的 语言 与 期 望 结果 不 一 致 ， 等 价 检 测 机 制 (也 称 为 等 价 
数据 库 ) 会 提供 一 个 新 的 反例 。 

综 上 ， 这 样 就 可 以 保证 在 经 过 至 多 n 次 等 价 查询 且 在 所 考虑 语言 最 小 确定 性 
状态 机 的 情况 下 〈 其 中 为 该 状态 机 的 状态 个 数 ) ， 学 习 过 程 终止 。 


11.2.1 充分 行为 建 模 


主动 自动 机 学 习 最 初 已 引入 到 有 限 状 态 的 受 体 中 心 。 在 此 阐述 在 通信 系统 
相关 文献 和 验证 中 自动 机 学 习 相 关 的 实践 站 。 然 而 ， 与 有 限 状态 受 体 不 同 ， 
反应 系统 不 能 区 别 接受 状态 和 拒绝 状态 ， 但 会 产生 一 些 相 对 于 输入 的 输出 响应 。 
为 满足 这 一 要 求 ， 将 自动 机 学 习 转 换 为 Mealy ERREI 。 

定义 2 一 个 Mealy 有 限 状态 机 定义 为 一 个 元 组 

S=<Q,q, 2, 0, 6, A> 

式 中 ，@ 为 有 限 非 空 状态 集合 (其 中 n= | @ | 为 S 的 大 小 ) ; qoe Q 为 初始 状态 ; X 
为 有 限 输入 字母 表 ; 0 为 有 限 输出 字母 表 ; 5: Ox X OQ 迁移 函数 ; A: Qx X A 
输出 函数 。 
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直观 上 ，Mealy 有 限 状态 机 可 通过 状态 ge 0 不 断 演化 ， 只 要 应 用 一 个 输入 
符号 (或 行为 ) a eE， 则 状态 机 可 根据 lC, a) 转移 到 一 个 新 的 状态 ， 并 根据 
Alq, a) 产生 一 个 输出 。 记 gg' 表 示 在 输入 符号 i 下 Mealy 有 限 状态 机 从 状态 
4 转移 到 状态 g'， 产 生 输出 符号 o 

转移 函数 85; QxX 0 可 扩展 为 6': OxD "一 0， 使 之 适用 于 所 有 状态 9， 
qeX. FhacT MEM wed", HRS, aw) =8'(8(q, a), w). F 
样 ， 也 适用 于 输出 函数 。 在 本 章 后 面 ， 通 过 a AA 根据 上 下 文 来 表示 这 些 函 数 
的 扩展 形式 或 原始 版 本 。 

Mealy 有 限 状 态 机 已 广泛 应 用 于 确定 性 反应 式 系统 的 建 模 中 ， 且 仍 在 不 断 开 
发 新 的 Mealy 有 限 状态 机 学 习 算法 9.31 。 实 际 上 ，Mealy 有 限 状 态 机 学 习 在 实践 
与 大 规模 应 用 中 占 主导 地 位 。 现 在 ， 已 有 一些 网 络 服务 [91 、 通 信 协 议 实体 1 或 
软件 组 件 * 呈 的 行为 模型 学 习 示 例 。 在 11.4 节 ， 将 介绍 一 个 软件 组 件 学 习 的 示 
例 。 从 概念 上 来 讲 ，Mealy 有 限 状态 机 的 学 习 是 按照 上 节 所 述 的 相同 模式 。 唯 一 
的 不 同 之 处 在 于 区 别 接受 或 拒绝 字符 的 双 态 鉴别 器 由 一 组 鉴别 转移 的 输出 符号 来 
代替 。 这 使 得 在 所 需 数据 结构 方面 几乎 不 存在 技术 上 的 修改 ， 同 时 不 会 影响 之 前 
的 整体 正确 性 、 完 备 性 和 终止 参数 。 

最 近 ， 推 理 方法 的 发 展 主要 集中 进一步 收集 在 实际 系统 中 可 能 发 生 的 现象 。 
在 Mealy 有 限 状态 机 的 推理 算法 基础 上 ， 产 生 了 LO 自动 机 推算 法 上 、 时 间 自 动 
BLU^ . Petri ALP? 。 在 L/O 自动 机 模型 基础 上 ， 大 量 由 静止 状 
态 组 成 的 系统 可 适用 于 查询 学 习 。 时 间 自动 机 对 时 间 相关 行为 进行 显 式 建 模 。 利 
用 Petri 网 可 解决 具有 显 式 并 行 状态 的 系统 。 在 此 ， 将 在 一 节 中 专门 介绍 这 种 参 
数 化 接口 字母 表 的 复杂 问题 的 解决 方法 (11.7 节 )。 在 文献 [9] 中， 将 主动 学 习 
应 用 于 具有 复杂 行为 且 参 数 在 由 无 限 状态 空间 组 成 的 无 限 域 中 的 系统 。 

除了 对 学 习 算法 进行 扩展 来 涵盖 更 广泛 的 现象 之 外 ， 在 模型 校 验 中 应 用 主动 
学 习 也 是 一 个 研究 热点 领域 bs ， 尤 其 是 克服 所 谓 的 空间 状态 爆炸 问题 。 


11.3 常规 外 推 法 的 挑战 


自动 机 学 习 可 认为 是 处 理 黑 箱 系 统 的 一 种 关键 技术 ， 即 可 进行 观察 ， 但 对 其 
内 部 结构 甚至 系统 目的 相关 知识 完全 未 知 或 已 知 很 少 的 系统 。 主 动 自动 机 学 习 的 
特点 在 于 观察 的 特殊 方法 ， 即 以 一 种 进行 隶属 度 查 询 和 等 价 查询 的 积极 主动 方 
式 。 为 此 ， 需 要 某 种 方法 来 实现 应 用 背景 下 基于 查询 的 交互 。 鉴 于 隶属 度 查询 通 
常 是 通过 测试 在 实践 中 实现 的 ， 而 等 价 查询 通常 是 不 切实 际 的 。 在 接 下 来 的 内 容 
中 将 会 讨论 由 于 应 用 场景 的 各 种 不 同 特点 所 面临 的 挑战 ， 并 阐述 了 实际 黑箱 场景 
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中 “ 黑 并 不 等 于 黑 ” 的 问题 。 

A: 与 实际 系统 交互 

与 一 个 实际 SUL 系统 交互 会 产生 两 个 问题 : 一 个 是 建立 合适 接口 使 之 应 用 
于 实现 隶属 度 查 询 的 测试 案例 时 的 纯粹 技术 问题 ; 另 一 个 是 缩小 抽象 学 习 模型 和 
具体 运行 场景 之 间 差 距 的 概念 性 问题 。 

第 1 个 问题 对 于 系统 连通 性 设计 (如 网 络 服务 或 代码 库 ) 而 言 相 对 简单 ， 
该 问题 具有 一 个 由 外 部 触发 且 如 何 处 理 所 产 生 文档 的 基本 概念 。 但 是 ， 如 对 于 在 
封装 良好 的 环境 下 工作 的 某 些 租 入 式 系 统 ， 连 通 性 的 建立 可 能 会 非常 复杂 ， 且 只 
能 通过 一 些 专门 的 图 形 用 户 接口 (GUI) 来 访问 。 

第 2 个 问题 在 概念 上 更 具有 挑战 性 。 该 问题 涉及 根据 通信 字母 表 建 立 一 个 合 
适 的 抽象 层 ， 这 一 方面 可 产生 一 个 有 用 的 模型 结构 ， 另 一 方面 也 允许 在 抽象 模型 
层 和 具体 SUL 层 之 间 自 动 地 来 回转 移 。 但 找到 一 个 合适 的 抽象 并 不 容易 。 例 如 ， 
一 个 比较 大 的 问题 是 可 能 易于 产生 非 确 定性 问题 ， 由 此 影响 学 习 过 程 。 近 年 来 ， 
这 个 问题 已 通过 一 种 自动 字母 表 抽象 细 化 方法 得 以 解决 "| 。 

B: 隶属 度 查询 

尽管 某 些 规模 较 小 的 学 习 实验 一 般 只 需要 几 百 个 隶属 度 查询 ， 但 实际 学 习 系 
统 可 能 需要 比 其 多 好 几 个 数量 级 的 隶属 度 查询 。 这 直接 表明 在 进行 隶属 度 查询 时 
或 在 相应 测试 案例 中 大 多 数 实 际 设置 时 SUL 的 执行 速度 是 极其 重要 的 。 对 于 这 
种 类 型 的 系统 ， 仿 真 环境 下 通常 每 秒 可 进行 数 千 次 查询 ， 而 在 实际 系统 中 每 个 测 
试 案例 可 能 需要 很 多 秒 或 甚至 几 分 钟 。 在 这 种 情况 下 ， 所 需 测试 案例 个 数 最 小 
化 ， 而 非 并 行 化 ， 是 成 功 与 否 的 关键 (11.5 节 )。 

C: 重 置 

主动 学 习 要 求 隶属 度 查询 是 独立 无 关 的 。 尽 管 这 在 仿真 系统 中 完全 没有 问 
题 ， 但 在 实际 系统 中 可 能 存在 很 大 的 问题 。 在 此 ， 解 决 方案 可 以 从 通过 系统 状态 
的 自动 归 位 序列 ”或 映射 的 重 置 机 制 到 产生 独立 的 全 新 系统 场景 之 间 变 化 。 事 
实 上 ， 在 某 些 情况 下 ， 可 执行 的 一 种 最 佳 办 法 是 对 于 一 个 完全 独立 的 用 户 场 景 下 
进行 每 次 隶属 度 查询 (0,98 8 章 ) 。 除 了 建立 这 些 场景 的 成 本 之 外 ， 还 要 求 对 查 
询 结果 进行 充分 地 聚 类 。 例 如 ， 各 种 场景 下 不 同 的 用 户 密码 组 合 必须 经 过 抽象 的 
确定 。 

D: 参数 域 和 值 域 

主动 学 习 一 般 是 基于 抽象 的 通信 字母 。 参 数 和 解释 值 只 能 处 理 为 抽象 字母 中 
一 定 程度 的 表示 。 在 实践 中 ， 这 通常 对 于 甚至 是 简单 通信 协议 的 系统 都 是 不 充分 
的 ， 例 如 必须 控制 增加 的 序列 个 数 ， 或 需要 验证 用 户 名 /密码 是 否 匹 配 。 由 于 该 
问题 的 复杂 性 ， 并 不 期 望 在 此 得 到 任何 全 面 的 解决 方案 。 而 认为 需要 开发 特定 域 
和 特定 问题 的 解决 办 法 来 产生 专用 的 解决 方案 。 


210 工业 关键 系统 的 形式 化 方法 : 应 用 综述 





以 下 内 容 中 将 致力 于 解决 这 些 挑战 。 对 于 每 个 挑战 ， 将 会 提供 一 个 相应 结果 
的 简单 描述 和 一 个 小 的 实际 示例 。 


11.3.1 等 价 查询 注释 


所 面临 的 一 个 巨大 挑战 是 如 何 实际 实现 等 价 查询 ， 在 本 节 中 并 不 进行 详细 讨 
论 。 这 个 方向 的 相关 研究 很 少 ， 在 此 并 不 利用 一 节 来 专门 讨论 该 问题 ， 而 是 将 目 
前 为 止 所 相关 文献 中 进行 的 尝试 进行 总 结 。 

等 价 查询 是 将 学 习 的 假设 模型 与 语言 等 效 的 SUL 进行 比较 ， 并 在 失败 的 情 
况 下 返回 一 个 表示 差异 的 反例 。 在 仿真 环境 下 这 种 实现 相当 容易 : 如果 SUL 是 
一 个 模型 ， 则 可 显 式 检测 是 否 等 价 。 然 而 在 实践 中 ，SUL 通常 是 某 种 类 型 的 黑 
箱 ， 必 须 利用 隶属 度 查 询 来 模仿 等 价 查询 。 一 般 来 说 ， 这 样 只 会 产生 一 个 近似 解 
决 方案 ， 因 为 总 是 会 存在 没有 充分 检测 的 可 能 性 。 

基于 模型 的 测试 方法 "已 用 于 模拟 等 价 查询 。 例 如 ， 如 果 已 知 SUL 中 状态 
个 数 的 上 界 ， 则 可 采用 W 方法 '“! 和 Wp 方法 。 这 两 种 方法 都 具有 指数 复杂 度 
(H SUL 的 大 小 和 所 需 的 隶属 度 查询 个 数 方面 ) 。 在 文献 [6] 中 曾 最 先 讨论 过 常 
规 外 推 法 和 一 致 性 测试 方法 之 间 的 关系 。 

在 没有 引入 任何 额外 假设 的 情况 下 ， 只 存在 进行 隶属 度 查询 的 近似 解决 方案 。 
在 此 ， 一 致 性 测试 方法 可 能 并 不 总 是 一 种 明智 选择 。 这 就 需要 从 如 通过 采用 一 致 性 
测试 技术 的 “试图 证 明 等 价 ” 转 变 为 具有 积极 影响 的 “快速 发 现 反 例 ”。 近 年 来 ， 
Zulu 的 挑战 “在 该 方向 上 进行 了 深入 研究 ， 并 在 文献 [30] 中 进行 了 阐述 。 


11.4 与 实际 系统 交互 


在 本 节 中 ， 将 集中 讨论 系统 交互 的 第 2 个 问题 : 缩小 抽象 模型 层 和 具体 
(实际 ) SUL 层 之 间 的 差距 。 

一 种 主动 学 习 算法 可 利用 其 通信 字母 表 产 生 抽 象 测试 序列 ， 该 通信 字母 表 需 
转换 为 SUL 的 具体 测试 序列 。 在 响应 上 ， 学 习 算 法 期 望 得 到 一 个 在 通信 字母 表 
层次 上 的 抽象 输出 序列 ， 这 通常 是 一 个 相对 于 具体 测试 序列 的 输出 产生 抽象 。 实 
现 这 种 来 回迁 移 的 组 件 在 不 同 背 景 下 有 不 同 的 名 字 ， 例 如 映射 器 、 测 斌 驱动 程序 
或 传感器 。 为 强调 对 于 一 致 性 测试 设置 的 近似 ， 在 此 将 其 称 为 测试 驱动 程序 。 

尽管 实际 系统 的 具体 测试 仪器 之 间 存 在 差异 ,但 可 以 观察 到 如 下 的 一 般 模 
式 。 一 个 学 习 算 法 可 利用 一 组 SUL 的 (抽象 ) 输入 符号 进行 实例 化 。 学 习 过 程 
中 算法 程序 的 隶属 度 查询 (输入 符号 序列 ) 可 传送 到 测试 驱动 程序 中 。 然 后 ， 
测试 驱动 程序 通过 以 下 步骤 来 对 系统 进行 操作 : 

e 将 隶属 度 查询 转换 到 实际 系统 的 行为 序列 中 ; 
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e 在 SUL 中 逐一 执行 这 些 行为 ; 

e 记录 每 个 行为 所 产生 的 反应 ; 

e 将 这 些 反 应 转换 为 学 习 算 法 可 理解 的 输出 字母 表 符号 。 

在 输入 序列 执行 完成 后 ， 输 出 的 结果 序列 将 会 传送 回 学 习 算法 。 在 作为 一 个 学 
习 设 置 的 一 般 拓扑 结构 示例 中 已 讨论 过 的 图 11. 2 中 描述 了 一 种 推理 网 络 服务 行为 的 
相应 设置 。 在 这 种 情况 下 ， 在 服务 的 网 络 服务 描述 语言 (WSDL) 文件 中 可 获得 字母 
表 信 息 ， 且 测试 驱动 程序 在 对 应 于 算法 所 用 抽象 接口 符号 的 具体 行为 下 工作 。 

测试 驱动 程序 是 处 理 抽象 ( 见 11.7 节 ) 或 在 学 习 算 法 “中 SUL 完全 隐藏 
部 分 的 一 种 功能 强大 的 方法 。 然 而 ， 设 计 这 样 一 种 测试 驱动 程序 并 不 是 一 个 简单 
工作 。 由 于 将 会 对 由 学 习 算 法 产生 的 实际 系统 产生 显著 影响 ， 因 此 需要 专业 知 
识 。 到 目前 为 止 ， 大 多 数 测试 驱动 程序 都 是 人 工 定 制 的 。 据 现 有 知识 所 知 ， 仅 在 
文献 [37] 中 明确 提出 了 主动 学 习 测试 驱动 程序 的 自动 生成 。 


11.4.1 测试 驱动 程序 设计 示例 


接 下 来 ， 简 单 介绍 一 个 应 用 自动 机 学 习 的 实际 系统 。 在 文献 [48] 中 给 出 该 案 
例 分 析 的 详细 讨论 。 这 是 一 个 最 初 由 Verona 大 学 在 系统 C 中 设计 的 用 于 硬件 /软件 
协同 设计 的 简单 路 由 器 。 该 路 由 器 提供 了 4 个 可 用 来 接收 和 发 送 数据 包 的 端口 。 其 
基本 组 成 一 个 用 于 缓存 消息 的 有 界 FIFO 序列 和 一 个 包含 如 何 路 由 消息 的 信息 表 。 
消息 本 身 包括 发 送 地 址 、 接 收 地 址 、 发 送 方 生成 的 识别 码 、 数 据 和 校 验 码 。 

在 设计 测试 驱动 程序 时 ， 将 仅 将 识别 码 、 数 据 和 校 验 码 上 不 同 的 消息 通过 采用 
一 个 静态 路 由 表 (其 中 ， 路 由 目标 0 到 端口 0， 路 由 目标 1 到 端口 1， 以 此 类 推 ) 来 
看 作 等 效 数据 包 。 只 要 路 由 器 在 某 一 端口 接收 到 一 条 消息 ， 则 将 该 消息 压 入 队列 尾 
部 ， 直 到 队列 满 。 若 消息 队列 已 满 的 情况 下 接收 到 一 个 数据 包 ， 则 该 消息 丢弃 。 

在 此 ， 也 清晰 地 体现 了 充分 建 模 的 复杂 性 。 将 发 送 给 路 由 器 的 消息 看 作 输入 
字母 表 而 返回 的 响应 消息 看 作 输 出 字母 表 的 清晰 定义 不 成 立 ， 除 非 至 少 关注 缓冲 
区 的 边界 性 能 。 这 种 建 模 方式 会 使 得 对 于 每 个 不 同 缓冲 区 都 建立 相同 模型 ， 这 是 
因为 学 习 算法 的 建 模 会 对 路 由 器 发 送 一 个 输入 数据 包 ， 然 后 在 发 送 新 的 数据 包 之 
前 等 待 ， 直 到 学 习 算 法 从 路 由 器 中 接收 到 一 条 消息 。 

该 问题 可 通过 分 离 输入 行为 和 输出 行为 使 得 发 送 操作 和 接收 操作 不 同步 来 解 
决 。 更 具体 而 言 ， 就 是 将 输入 分 为 接收 和 路 由 两 个 行为 后 ， 只 要 激活 接收 行为 ， 
则 路 由 器 在 某 一 端口 处 接收 消息 ， 并 尝试 将 其 保存 在 数据 包 队列 中 。 该 输入 行为 
总 是 由 一 个 具有 使 得 学 习 机 发 送 额外 数据 包 的 void 输出 的 测试 驱动 程序 响应 ， 
而 与 路 由 器 是 否 可 以 排序 数据 包 无 关 。 另 一 方面 ， 路 由 行为 表示 了 从 队列 中 取消 
息 并 将 其 路 由 到 某 一 网 络 端口 。 如 果 队 列 为 空 或 数据 包 发 送 到 某 一 指定 发 送 输出 
端口 时 ， 则 输出 响应 为 nop。 
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由 于 该 路 由 器 提供 了 4 个 端口 ， 因 此 可 利用 16 个 涵盖 每 种 源 地 址 和 目的 地 
址 组 合 的 不 同 消息 数据 包 进 行 分 析 。 在 此 ， 对 不 同类 型 的 路 由 器 采用 自动 机 学 习 
方法 ， 其 中 消息 队列 的 长 度 可 在 1 ~7 变化 。 图 11.3 给 出 了 由 学 习 算法 创建 的 消 
息 队 列 长 度 为 1 的 系统 最 小 模型 的 图 形 化 表示 。 这 个 迁移 过 程 由 观测 的 输入 / 输 
出 标记 。 


recv S1D1V0 from 1 / (void) 
recv S1DOVO from 1 / (void) 
T recv SODOVO from 0 / (void) 


recv SODOVO from 0 / (void) 










route() / send SODOVO to 0 
recv S1D1VO from 1 / (void) 


recv, S1D0VO from 1 / (void) 
recv SOD1VO from 0 / (void) 


route() / «nop» 


p route() / send SOD1VO to 1 



















x (on S1D1VO from 1 / (void) 
CR rom rev Mt bovo from 1 / (void) 


route() / send S1DO0VO to 0 


recv S1D1VO from 1 / (void) 


recv S1D1VO from 1 / (void) 


recv S1DOVO from 1 / (void 
recv SOD1VO f 
route() / send S1D1V0 to rom 0 / (void 


recv Lobovo from 0 / (void 









图 11.3 队列 长 度 为 1 ~4 个 端口 的 路 由 器 模型 
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可 明显 看 出 ， 路 由 器 模型 的 消息 队列 长 度 以 指数 形式 增 大 。 队 列 长 度 为 7 的 
最 大 学 习 模 型 具有 21844 个 状态 。 据 我 们 所 知 ， 这 是 所 学 习 的 最 大 “实际 ” 模 
A 。 目 前 为 止 ， 根 据 LeamLib 学 习 的 最 大 系统 是 一 个 具有 从 开放 /Caesar 工具 
套件 的 3 个 电话 的 普通 旧 电 话 系统 模型 ”1。 该 模型 具有 39974 个 状态 、51 个 输 
入 和 大 约 200 万 个 迁移 。 


11.5 隶属 度 查询 


学 习 算 法 广泛 应 用 隶属 度 查 询 来 系统 地 探索 一 个 系统 行为 ， 直 到 不 再 检测 到 
更 新 模型 和 系统 行为 之 间 一 致 性 的 “直接 证 据 ”。 

为 减少 探索 系统 所 必须 的 队列 个 数 ， 提 出 了 一 些 原始 L* 算 法 的 扩展 算法 '“。 

这 些 扩展 方法 包括 从 去 除 局 部 一 致 性 检查 “! 、 优 化 最 坏 情况 下 查询 个 数 '” 
到 全 部 替换 数据 结构 ”或 所 用 自动 机 模型 。 在 文献 [5] 中 给 出 了 部 分 概述 。 

另 一 种 减少 在 系统 上 需 执行 测试 个 数 的 方法 是 采用 特定 应 用 程序 的 滤波 器 。 
这 些 滤波 器 可 显著 减少 隶属 度 查 询 的 个 数 并 开放 对 实际 系统 的 常规 推理 。 接 下 
来 ， 将 简要 讨论 一 些 提 高 形式 化 的 有 效 但 对 于 滤波 而 言 一 般 思想 的 方法 。 相 应 的 
实验 是 基于 一 个 DFA 的 设置 ， 但 结果 可 直接 应 用 于 第 8 章 所 述 的 Mealy 有 限 状 
态 机 的 更 一 般 设 置 。 


11.5.1 TRE 


在 系统 地 探索 系统 行为 能 力 的 经 典 实现 过 程 中 ， 学 习 算 法 可 产生 宛 余 的 隶属 
度 查询 ， 即 对 于 相同 的 测试 案例 产生 不 同 的 推导 结果 。 为 防止 自动 测试 装置 执行 
两 次 测试 案例 ， 可 利用 缓存 来 检测 是 否 执 行 了 两 次 并 将 其 滤 除 '*]。 

另外 ， 在 类 似 测试 的 场景 中 ,隶属 度 查 询 将 会 返回 所 有 轨迹 ， 而 不 仅仅 是 单 
个 符号 (如 有 限 状态 受 体 下 接受 或 拒绝 的 情况 ) 。 因 此 ， 在 实际 中 进行 隶属 度 查 
询 通 常 可 产生 仅 在 字符 所 有 前 级 条 件 下 进行 隶属 度 查 询 所 获得 的 理论 上 形式 化 的 
信息 。 这 些 额 外 信息 也 可 通过 缓存 方式 进行 保存 。 


11.5.2 WAHE 


如 果 所 学 习 的 语言 由 对 实际 系统 运行 的 观测 组 成 ， 则 很 显然 ， 该 语言 是 前 绥 
闭 包 的 ， 即 给 定 一 次 运行 ， 该 次 运行 的 每 个 前 缀 也 在 该 语言 中 ( 因为， 前 级 本 
身 也 是 系统 的 一 次 运行 )。 由 于 学 习 算 法 无 需 考虑 通过 之 前 的 隶属 度 查询 方法 从 
SUL 语言 中 排除 的 字符 串 是 否 连 续 ， 因 此 这 个 观察 结果 可 以 产生 一 种 强大 的 优 
- 化。 另外 ， 只 要 在 系统 运行 中 已 知 一 个 长 字符 串 ， 就 可 将 该 字符 串 的 所 有 前 绥 都 
添加 到 模型 中 而 无 需 进 一 步 测试 。 按 形式 化 的 正确 性 术语 ， 如 果 一 组 未 接受 状态 
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Q, F^RBES SE, WW DFA 为 前 级 闭 包 ， 即 
Vqe(QW) * Vaed -ó(q,a) e(QWV) 
图 11. 4a 给 出 了 一 个 前 级 闭 包 的 DFA: 底部 状态 是 唯一 拒绝 的 状态 ， 即 一 个 
汇 节点 。 值 得 注意 的 是 ， 最 小 化 前 缀 闭 包 DFA 的 特点 是 因 其 仅 有 一 个 拒绝 状态 
而 具有 一 个 汇 节点 。 





图 11.4 具有 不 同 特点 的 确定 性 有 限 状 态 机 (接受 状态 具有 白色 和 粗 实 线 ) 
a) BURA DFA b) 相互 独立 的 行为 a, b c) 对 称 行为 a,b 


前 级 闭 包 的 理论 概念 可 很 容易 地 应 用 于 Mealy 有 限 状态 机 和 实际 系统 。 这 种 
概念 有 助 于 忽略 SUL 中 的 无 关 部 分 : 例如 ， 在 测试 驱动 程序 ( 见 11.4 节 ) 中 仅 
需要 对 特殊 错误 符号 屏蔽 特定 输出 ， 并 保证 错误 输出 会 将 SUL 转移 到 一 个 任意 
定义 的 错误 汇 节 点 。 在 文献 [7，35，42 ] 中 给 出 将 一 个 前 缀 闭 包 滤波 器 应 用 于 实 
际 模型 中 所 产生 的 结果 。 


11.5.3 行为 独立 性 


可 观察 的 事件 在 某 种 意义 上 可 能 是 独立 的 ， 即 以 任何 顺序 执行 都 产生 相同 的 
系统 状态 。 由 此 ， 如 果 观 察 (或 查询 ) 到 一 个 执行 顺序 ， 则 可 得 出 独立 事件 的 每 
个 重新 排序 都 可 产生 相同 的 系统 状态 。 尤 其 是 ， 如 果 这 些 执行 顺序 中 有 一 个 事件 是 
一 次 系统 运行 ， 则 独立 事件 a, be 的 所 有 (等 价 ) 重新 排序 也 是 系统 运行 : 

VqeQ-5(5(q, a), b)=6(6(g, b), a) 
独立 滤波 器 可 通过 只 查询 系统 中 每 个 等 价 类 的 一 个 元 素 即 可 得 到 上 述 观察 。 

尽管 总 是 可 采用 一 个 前 级 闭 包 滤 波 器 ， 但 一 个 独立 的 滤波 器 需要 一 些 形式 化 
表示 用 于 指定 哪些 事件 可 被 打 乱 的 独立 关系 的 额外 输入 。 例 如 ， 图 11. 4b 中 的 确 
定性 有 限 状 态 自 动机 包含 了 一 对 黑色 表示 的 独立 行为 (a, 8)。 从 形式 上 讲 ， 独 
立 性 是 指 一 对 行为 之 间 的 一 种 非 自 反 和 对 称 关 系 。 一 个 独立 滤波 器 的 实现 过 程 可 
根据 独立 性 关系 来 规范 化 查询 : 即 根据 行为 的 给 定 顺 序 来 计算 按 字典 顺序 的 最 小 
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Afric ig 。 
11.5.4 确定 性 输入 


对 于 许多 实际 系统 ， 可 根据 以 下 情况 来 区 分 输入 字母 表 和 输出 字母 表 : 总 是 
输入 使 能 ， 反 映 了 系统 无 法 控制 其 环境 和 输入 的 确定 性 响应 。 因 此 ， 只 要 已 知 一 
个 特定 输入 序列 的 响应 ， 则 无 需 进 一 步 考虑 该 序列 。 已 证 明 这 种 优化 在 将 该 系统 
建 模 为 有 限 状态 机 自动 机 时 非常 有 效 “ ( 见 图 11.4) 。 然 而 ， 这 也 表明 通过 切 
换 到 Mealy 有 限 状态 机 模型 可 非常 自然 地 实现 这 种 优化 。 


11.5.5 对 称 性 


硬件 和 通信 系统 中 通常 包含 大 量 的 无 法 通过 观察 来 区 别 的 组 件 ， 也 就 是 说 ， 
不 能 显 式 观察 到 其 识别 码 。 例 如 ， 从 一 个 观察 的 角度 来 看 ， 一 般 并 不 关心 何 种 设 
备 执行 某 一 特定 行为 《例如 ， 寻 址 哪个 内 存 组 或 哪 部 电话 拨打 特定 号 码 ) ， 并 且 
从 原则 上 相应 组 件 的 精确 识别 〈 请 求 处 理 器 或 呼叫 接收 器 ) 并 不 重要 ， 只 要 假 
设 一 个 唯一 且 一 致 的 识别 码 ， 例 如 呼叫 号 码 和 接收 器 的 号 码 相 匹配 :” 。 

随 着 系统 中 相同 组 件 的 个 数 增 大 ， 该 观察 对 于 优化 具有 很 大 的 潜力 。 在 此 ， 
实现 了 一 个 相应 的 滤波 器 ， 在 其 本 质 上 导致 了 对 设备 的 一 种 符号 处 理 。 图 11. 4c 
给 出 了 一 个 DFA 示例 ， 其 中 ,认为 a 和 6b 对称 ， 即 可 完全 互 换 。 


11.5.6 滤波 器 示例 


现 已 对 文献 [42] 中 呼叫 中 心 应 用 的 几 个 典型 示例 进行 了 模型 构建 实现 。 为 
阐述 实验 目的 ， 在 此 给 出 4 种 简单 场景 ， 其 中 每 个 场景 都 包括 一 个 连接 到 电话 号 
码 的 电话 交换 机 。 在 这 些 场景 中 ， 学 习 模 型 的 重点 限于 只 针对 电话 的 少数 行为 和 
交换 机 的 某 些 响 应 。 在 最 简单 的 场景 (S1) 中 ， 仅 允许 一 个 电话 接听 和 挂 断 ， 
在 最 后 一 个 场景 (S4) 中 ， 具 有 3 个 电话 ， 其 中 两 个 电话 之 间 可 连接 。 在 文献 
[44] 中 给 出 了 设置 的 具体 细节 。 

由 图 11.5 中 的 示意 图 可 知 ， 系 统 确定 性 输入 、 语 言 的 前 缀 闭 包 和 特定 独立 
性 行为 的 组 合 可 显著 减少 测试 数量 。 根 据 图 中 给 定 图 例 的 顺序 应 用 滤波 器 ， 并 根 
据 涵盖 测试 案例 的 第 一 个 滤波 器 来 对 测试 案例 进行 分 类 。 值 得 注意 的 是 滤波 器 的 
应 用 顺序 可 能 会 改变 组 合 的 效果 ( 见 文献 [43] ) 。 

前 绥 沥 波 器 对 所 有 考虑 的 场景 的 作用 相似 。 这 表明 并 不 依赖 于 示例 性 质 和 状 
态 个 数 。 而 其 他 两 个 滤波 器 (确定 性 输入 和 偏 序 ) 的 效果 则 变化 很 大 : 节能 因 
子 随 着 状态 个 数 增 大 而 增 大 。 另 外 ， 还 期 望 随 着 独立 性 程度 提高 ， 偏 序 和 对 称 性 
的 影响 也 会 增 大 。 这 可 由 实验 验证 : SI 中 仅 有 一 个 执行 体 ， 因 此 无 独立 性 可 言 ， 
使 得 因子 为 1。 随 着 独立 设备 的 个 数 增加 ， 节 能 因子 也 会 相应 增 大 ， 如 S2 和 S3 所 
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图 11.5 每 个 滤波 器 的 成 员 队 列 百分比 滤波 


示 。 与 S3 相 比 ，S4 的 节能 因子 减 小 。 这 是 因为 在 S4 中 引入 的 行为 (呼叫 初始 化 ) 
建立 了 两 个 设备 之 间 的 相互 依赖 关系 ， 由 此 减少 了 偏 序 和 对 称 性 的 潜在 优化 。 


11.6 BS 


在 原则 上 ， 学 习 反 应 式 系统 需要 一 种 将 SUL 重 置 为 初始 状态 的 方法 : 为 保 
证 结果 有 意义 ， 应 在 相同 初始 条 件 下 执行 所 有 隶属 度 查询 (或 实验 )。 这 种 要 求 
相对 苛刻 ， 在 实际 系统 中 可 能 并 不 满足 。 实 际 上 ， 可 将 系统 需 重 置 到 相同 状态 的 
要 求 简化 为 将 系统 重 置 到 一 个 可 观察 的 等 价 状态 即 可 。 目 前 已 有 几 种 其 他 方法 比 
显 式 重 置 机 制 更 适用 于 在 实际 场景 中 明确 重 置 一 个 系统 : 

e 实现 重 置 的 一 种 方法 是 一 个 全 局 有 效 的 自动 归 位 序列 ， 即 一 个 总 能 使 得 
SUL 返回 其 初始 状态 的 序列 。 对 于 大 多 数 具有 复杂 控制 结构 的 软件 系统 ， 显 然 并 
不 在 一 个 全 局 有 效 的 归 位 序列 。 然 而 ， 在 硬件 系统 中 ， 这 是 很 常见 的 。 在 文献 
[1 中 将 一 个 全 局 有 效 的 归 位 序列 作为 重 置 机 制 。 分 布 式 软件 系统 很 大 程度 上 取 
决 于 消息 传递 范式 ， 且 一 个 单独 的 组 件 并 不 能 构成 一 个 复杂 的 控制 结构 。 对 于 这 
个 系统 ， 接 收 通道 中 所 有 消息 的 行为 序列 会 在 一 个 特定 状态 下 离开 该 系统 。 执 行 
该 行为 序列 两 次 仍 会 产生 相同 的 “ 空 ”状态 。 

在 开始 实际 的 学 习 过 程 之 前 ， 归 位 序列 通常 是 人 工 设计 的 。 实 时 产生 归 位 序 
列 的 推理 系统 的 可 能 性 已 成 为 理论 研究 的 一 个 热点 问题 1。 

。 如 果 能 够 控制 离线 实验 的 实现 过 程 ， 例 如 ， 存 在 以 某 种 测试 形式 运行 的 
SUL 情况 下 ， 通 常 可 以 对 每 次 实验 简单 利用 SUL 的 一 个 新 的 实例 。 在 文献 
[2, 11, 49] 中 ， 就 利用 该 方法 来 推断 协议 实体 的 行为 。 协 议 实 体 一 般 运行 在 网 
络 模拟 器 中 ， 对 于 每 次 实验 都 需要 创建 一 个 新 的 协议 实体 。 

e 如 果 只 存在 系统 的 一 个 实例 ， 可 能 会 利用 抽象 而 不 是 重 置 : 例如 ， 可 利用 
一 个 抽象 接口 字母 表 来 学 习 每 次 新 连接 或 用 户 采用 相同 行为 的 系统 ， 其 中 ， 在 测 
试 驱动 程序 中 ， 抽 象 接口 字母 表 转 换 为 测试 该 性 能 的 具体 实验 。 在 文献 [1] 中 介 
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绍 了 一 个 案例 分 析 ， 在 不 通过 任何 方式 重 置 服 务 的 情况 下 ， 外 推 一 个 网 络 服务 的 
行为 模型 。 所 提 方 法 取决 于 假设 这 些 服 务 通常 为 每 一 个 新 的 连接 提供 相同 行为 。 
从 所 用 学 习 算 法 的 字母 表 中 抽象 出 具体 事务 标识 符 ， 并 在 每 次 实验 中 利用 一 组 新 
的 事务 标识 符 。 由 此 可 将 具体 服务 应 用 到 在 抽象 层 不 可 区 别 的 状态 中 。 该 技术 用 
于 学 习 第 8 章 所 述 的 OCS 的 全 局 行为 学 习 。 

这 种 简化 显 式 重 置 机 制 要 求 的 简短 而 不 完整 的 思想 表明 可 以 通过 多 种 方法 来 
避免 从 字面 上 重 置 SUL。 


11.6.1 重 置 示 例 


在 此 ， 给 出 了 一 个 体现 第 3 种 实现 重 置 机 制 方法 的 案例 分 析 的 部 分 节选 。 在 
文献 [1] 中 详细 讨论 了 该 案例 分 析 。 该 案例 分 析 的 基本 内 容 是 “移动 支付 ” 
(PoTM) 服务 ， 可 为 消费 者 和 网 店 经 营 者 之 间 提 供 支 付 管理 功能 。 只 要 提供 支付 
的 过 程 细节 和 账户 凭据 ，PoTM 的 用 户 即 可 开始 交易 。 另 外 ， 可 能 还 会 要 求 一 个 
交易 卫 。 这 种 服务 提供 了 两 个 额外 的 原 语 : 一 个 是 检验 交易 状态 ， 另 一 个 是 让 
银行 确认 交易 〈 以 使 得 交易 取消 可 能 ) 。 在 图 11.6 中 给 出 了 定义 网 络 服务 接口 
的 部 分 WSDL 文档 。 

可 通过 抽象 来 实现 系统 重 置 : 个 体 应 用 实例 之 间 的 差异 〈 其 中 ， 每 个 实例 
都 有 各 自 “新 ”的 交易 ID) 变 得 不 可 观测 。 在 此 ， 新 的 交易 ID 是 指 目前 为 止 在 
系统 中 尚未 使 用 的 交易 了 P。 利 用 返回 已 使 用 和 未 使 用 交易 之 间 差 异 的 check- 
TransactionStatus 原 语 来 进行 是 否 为 新 的 检测 ， 且 不 改变 系统 状态 。 


<xs:complexType name="BeginTransaction"> 
<xs : sequence> 
<xs:element minOccurs="0" name-"transactionId" type="xs:string"/> 


</xs:sequence> 
</xs:complexType> 


<xs:complexType name="CheckTransactionStatus"> 
<xs : sequence> 
<xs:element minOccurs="0" name="transactionId" type="xs:string"/> 
</xs : sequence> 
</xs:complexType> 


<xs:complexType name="AknowledgeTransaction"> 

<xs : Sequence> 

<xs:element minOccurs="0" name="transactionId" type="xs:string"/> 
</xs:sequence> 


</xs : complexType> 


图 11.6 PoTM 网 络 服务 的 WSDL (摘录 ) 
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图 11.7 给 出 了 学 习 算 法 建立 的 仅 利用 新 交易 ID 进行 支付 服务 模型 的 图 形 化 
表示 。 根 据 相应 的 输入 符号 和 输出 符号 来 标记 状态 迁移 。 所 给 出 的 输出 符号 是 激 
活 原 语 的 返回 值 。 返 回 值 “1002” 表 示 成 功 返 回 。 在 存在 错误 或 异常 的 情况 下 ， 
网 络 服务 给 定 的 原因 表示 为 输出 符号 。 

由 图 11.7 可 知 ， 只 有 利用 未 使 用 交易 ID 的 一 个 新 交易 才 会 产生 一 个 系统 的 
新 状态 。 所 学 习 的 模型 证 明了 人 允许 降低 重 置 要 求 的 假设 : 对 于 所 有 并 发 的 交易 ， 
服务 行为 是 独立 相同 的 。 


begin (invalid, id) / check (id) / ack (id) / 
can not login no entry found ~ no entry found 


begin (invalid, id) / 
1002 


ETT. 
— begin (invalid, id) / þegin (invalid, id) check (id) ack (id) / 
can not login could not inse 1002 


Fd 11.7 PoTM 网 络 服务 的 外 推 模型 










11.7 参数 和 值 域 


正如 11.4 节 中 所 述 ， 实 际 系统 的 学 习 模 型 需要 一 个 测试 驱动 程序 ， 可 用 于 
连接 学 习 算法 和 SUL。 如 上 述 讨论 ， 测 试 驱 动 程序 也 可 用 于 抽象 ， 例 如 通过 隐藏 
特定 参数 。 然 而 在 本 节 中 ， 将 考虑 自动 组 成 带 参 数 行为 (如 呼叫 方法 ) 的 接口 
字母 表 的 处 理 方法 。 对 于 这 些 一 般 系统 ， 不 可 能 推理 每 个 字母 符号 下 具有 具体 数 
据 值 的 所 有 可 能 实例 行为 。 但 是 ， 为 了 确定 这 些 系统 的 子 类 ， 可 采用 常规 外 推 
法 。 例 如 ， 如 果 参 数 影响 仅 通过 布尔 表达 式 在 参数 上 建 模 的 SUL 行为 ， 这 将 变 
得 可 能 。 

定义 3 一 个 参数 化 的 Mealy 有 限 状态 机 定义 为 一 个 元 组 

Sp= <Q, q, A, Q, T> 
式 中 ，0 为 一 个 有 限 非 空 状态 集 (n= 10/8 5; 的 大 小 ) ; 

qo € Q 为 初始 状态 ; 

4 为 参数 化 行为 的 有 限 集 ; 

人 为 有 限 输出 字母 表 ; 

了 为 迁移 有 限 集合 ， 每 次 迁移 为 一 个 元 组 <q，a (2), g, q' >, Kg, 
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q'EQ, (alz), g) 为 守护 行为 。 

与 Mealy 有 限 状 态 机 类 似 ， 通 过 状态 吸收 输入 并 产生 输出 符号 可 演变 出 一 种 
参数 化 Mealy 有 限 状态 机 。a(z) eA 表示 一 个 行为 ，z 为 a 的 一 个 抽象 参数 矢 
量 。 用 c 来 表示 z 的 具体 值 。a( z) 的 守护 g 是 一 个 在 单个 组 件 z: 上 不 可 分 布尔 命 
题 的 组 合 。 守 护 行为 包括 (alz), e) 行为 和 守护 条 件 ; 这 是 c | =g 下 所 有 具体 
alz) 的 抽象 表示 。 在 此 要 求 荆 是 一 个 定义 良好 的 函数 。 

参数 化 Mealy 有 限 状 态 机 的 学 习 算法 通常 初始 化 为 只 具有 一 些 具体 输入 符号 和 
最 一 般 的 守护 布尔 值 为 真 。 由 此 ， 字 母 表 可 动态 扩展 ， 同 时 守护 条 件 也 会 相应 地 更 
加 精确 。 守 护 条 件 细 化 的 基础 是 采用 组 合 推理 方法 : 主动 学 习 成 为 推理 状态 空间 的 
一 种 框架 ， 该 状态 空间 应 与 策略 相 结 合 来 推理 一 个 正确 的 抽象 接口 字母 表 ， 即 本 例 
情况 下 的 守护 公式 构建 。 在 文献 132] 中 给 出 这 种 字母 表 抽象 自动 完善 技术 的 一 般 
模式 : 字母 表 扩 展 序 的 基础 是 在 等 价 查询 中 获得 的 反例 ， 这 也 表明 : 

© 当前 的 假设 至 少 缺少 一 个 状态 ; 

e 其 中 的 一 个 假设 守护 过 于 一 般 。 

当 一 个 反例 表明 假设 守护 /字母 表 符 号 过 于 一 般 时 ， 就 会 对 字母 表 进 行 完善 。 
这 种 情况 下 ， 过 于 一 般 的 守护 /字母 表 符号 可 分 为 两 部 分 ， 并 继续 以 改善 后 的 字 
母 表 进 行 学 习 。 这 将 会 扩展 图 11. 8 中 左 侧 突出 显示 的 经 典 学 习 模 式 。 
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图 11.8 组 合 外 推算 法 的 结构 (在 XPDD p] ) 


在 文献 [8 24) 中 给 出 了 两 种 该 模式 的 具体 实现 : 在 文献 [8] 中 ， 提 出 了 一 
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种 通过 输入 行为 和 布尔 参数 推理 参数 化 系统 行为 模型 的 方法 。 在 这 种 情况 下 ， 守 
护 条 件 是 在 这 些 参 数 上 的 析 取 范式 (DNF) 公式 : 对 于 一 个 守护 条 件 涵盖 的 符 
号 ， 所 有 具体 参数 值 都 满足 一 个 特定 的 DNF。 对 于 字母 表 细 化 ， 即 构建 细 化 的 
守护 条 件 ， 目 前 所 采用 的 一 种 学 习 DNF 的 方法 是 按照 文献 [ 10] 中 的 描述 。 

在 文献 [24] 中 ， 采 用 一 般 模 式 来 在 学 习 过 程 中 递增 扩展 一 个 给 定 的 字母 表 。 
然而 在 所 提出 的 白 箱 情况 〈 模 型 校 验 ) 下 ， 无 需 细 化 守护 条 件 和 抽象 。 而 是 在 
当前 考虑 的 字母 表 不 够 特别 时 ， 增 加 之 前 被 忽略 的 作为 输入 的 字母 表 符 号 。 


11.7.1 参数 化 示例 


文献 [29 ] 中 考虑 了 具有 多 个 整 型 参数 的 行为 ， 并 根据 文献 [25] 中 提出 的 d 
维 空间 平行 轮廓 加 工 盒子 的 组 合 学 习 技 术 来 开发 了 一 种 字母 表 细 化 方法 。 这 种 实 
现 方法 的 关键 是 将 两 种 相互 交织 的 分 析 进 行 明确 分 离 ， 其 中 一 种 是 利用 L' 算法 
来 获得 自动 机 的 结构 ， 男 一 种 是 按照 文献 [25 ] 来 确定 整 型 参数 的 阔 值 。 

在 这 种 设置 下 ， 抽 象 输入 符号 可 由 描述 如 图 11. 9 所 示 的 轴 平 行 箱 联合 的 线 
性 方程 来 表示 。 接 下 来 ， 仅 在 不 涉及 所 用 字母 表 细 化 方法 具体 细节 的 条 件 下 简要 
介绍 一 些 实验 结果 。 在 文献 [29 ] 中 给 出 了 所 采用 方法 和 结果 的 具体 描述 。 





图 11.9 整 型 化 参数 操作 


为 估计 参数 化 Mealy 有 限 状 态 机 性 能 变化 如 何 影响 学 习 算法 中 隶属 度 查询 的 
行为 ， 在 此 对 于 随机 产生 的 不 同性 能 的 自动 机 进行 了 4 组 实验 。 在 这 4 组 学 习 实 
验 的 每 个 实验 中 ， 黑 箱 系统 只 有 以 下 1 个 性 能 发 生变 化 : 行为 个 数 、 迁 移 次 数 、 
参数 域 大 小 和 和 守护 复杂 性 。 所 有 生成 的 自动 机 都 具有 6 个 状态 、1 个 抽象 行为 和 
1 个 大 小 为 2 的 输出 字母 表 。 对 于 每 个 结果 分 类 ， 输 出 符号 频率 变化 条 件 下 产生 
了 60 个 模型 。 
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采用 一 种 简单 的 方法 来 学 习 这 些 模型 ， 首 先 将 每 个 可 能 的 参数 值 看 作 独 立 的 
WARS (黑色) ， 然 后 利用 上 述 介绍 的 方法 来 细 化 仅 所 需 的 行为 抽象 集 ( 白 
色 ) 。 假 定 所 学 习 的 系统 在 一 定 程度 上 是 确定 性 的 ， 并 将 非 确定 性 发 生 看 作 一 种 
非常 粗糙 抽象 的 唯一 符号 。 图 11. 10 表明 了 在 对 数 尺度 上 不 同 实验 中 隶属 度 查询 
的 平均 次 数 。 

e 图 11. 10a 表明 了 参数 个 数 增 大 时 不 同 实验 的 结果 。 显 然 ， 原 始 算法 中 参 
数 个 数 增 加 可 导致 隶属 度 查 询 次 数 的 指数 增 大 ， 而 对 于 细 化 算法 ， 则 没有 明显 
影响 。 

e SHUR (MLA 11. 10b) 规模 的 增 大 可 产生 类 似 效果 。 

e 另 一 方面 ， 增 加 迁移 次 数 ( 即 守护 个 数 ) 对 原始 算法 无 任何 影响 ,这 毫 
不 奇怪 ( 见 图 11. 10c)。 

e 在 第 4 组 实验 中 ,守护 的 潜在 复杂 性 逐步 增 大 。 图 11. 10d RH TRER 
杂 性 的 增 大 对 实际 复杂 性 并 没有 显著 影响 。 
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图 11.10 每 组 实验 中 隶属 度 查询 (MQ) 的 平均 次 数 
11.8 NGLL 


f£ LearnLib 工具 中 可 获得 最 近 6 4Eok Br EL SCR zd 71. RAYA 
可 配置 且 提 供 了 一 个 丰富 的 算法 和 滤波 器 库 ， 但 构建 一 个 合适 的 学 习 设置 仍 
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并 非 易 事 。 在 某 种 程度 上 ， 这 是 因为 可 用 的 学 习 算 法 在 实际 中 并 不 是 工程 通 
用 的 ， 且 难以 针对 特殊 案例 进行 编码 ， 从 而 说 明 对 于 新 的 应 用 领域 适用 性 
有 限 。 

NGLL'S1 设 计 用 于 通过 在 扩展 组 件 库 的 基础 上 支持 基于 模型 的 专用 学 习 解 决 
方案 的 构建 来 简化 该 任务 。 这 些 库 包 括 处 理 实际 系统 所 需 的 各 种 方法 和 工具 ， 其 
中 包括 测试 驱动 程序 、 重 置 机 制 和 抽象 / 细 化 技术 。 由 于 互联 网 使 能 ，NGLL 还 
支持 采用 远程 组 件 。 因 此 ， 学 习 解 决 方案 可 由 本 地 运行 或 世界 上 任何 地 方 运行 的 
组 件 混合 组 成 ， 这 样 就 具有 了 一 个 既 对 远程 系统 学 习 非 常 有 用 又 可 在 分 布 式 资源 
中 灵活 分 配 学 习 的 特点 。 


11.8.1 基本 技术 


NGLL 是 基于 jABC'” 的 一 种 用 于 建 模 、 开 发 、 执 行 复杂 应 用 程序 和 过 程 的 
面向 服务 的 框架 。NGLL 是 最 初 设计 用 于 对 未 知 实际 系统 (通信 系统 、 网 络 服务 
等 ) 构建 有 限 状 态 机 模型 的 LeanrLib 的 扩展 。 根 据 LearnLib 的 使 用 经 验 可 快速 
建立 不 同学 习 算 法 的 实验 平台 ， 并 对 其 学 习 成 本 、 运 行 时 和 内 存 占用 特点 进行 统 
计 分 析 。NGLL 提供 了 文献 [4,， 35，39, 41, 50, 51] 中 所 提 学 习 算法 的 实现 。 
然而 ， 主 要 目的 并 不 是 (重复 ) 实现 这 些 著 名 的 算法 。 

在 实际 学 习 中 一 个 主要 的 障碍 是 由 Angluin 提出 的 隶属 度 查询 和 等 价 查 询 方 
面 理想 化 查询 形式 的 实现 问题 。 这 要 求 对 于 一 个 特定 应 用 在 测试 和 抽象 方法 上 的 
相互 影响 ， 显 然 在 实际 中 这 很 难 实现 。 在 这 方面 进行 提高 改善 会 导致 完全 重新 设 
计 LearnLib ， 从 而 最 终 形成 NGLL。NCLL 提供 了 一 种 新 的 灵活 度 ， 并 对 性 能 分 析 
和 抽象 处 理 提 供 了 改进 方法 。 关 键 在 于 一 种 可 直接 在 学 习 设 置 中 描述 的 构成 学 习 
过 程 的 新 的 简单 方法 。 


11.8.2 建 模 学 习 设 置 


一 个 完整 的 学 习 设置 通常 是 由 几 种 不 同类 型 的 组 件 构成 : 不 同类 型 模型 的 学 
习 算 法 、 测 试 驱动 程序 、 查 询 滤波 器 、 缓 存 、 模 型 输出 、 统 计 调 查 、 抽 象 提供 
者 、 反 例 处 理 等 。 其 中 一 些 是 可 选 的 ， 而 其 他 是 必 选 的 ， 许 多 这 些 组 件 本 质 上 都 
是 可 重用 的 ， 且 在 不 同 应 用 背景 下 易于 采用 。NGLL 提供 了 这 样 一 个 组 件 集合 并 
将 其 作为 易 用 的 构建 块 。 由 此 使 得 学 习 过 程 设计 人 员 可 直观 构成 适用 于 应 用 的 学 
习 设 置 。 

图 11. 11 表明 了 在 一 个 非常 基本 的 学 习 场 景 下 ， 典 型 的 NGLL 图 形 建 模 风 
格 。 如 图 中 右 侧 一 个 典型 学 习 设置 所 示 ， 可 非常 容易 地 确定 在 大 多 数学 习 设置 中 
经 常 发 生 的 常用 三 阶段 模式 ; 
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Æ 11.11 jABC 中 一 个 简单 的 学 习 设 置 的 执行 服务 逻辑 图 


。 学 习 过 程 首先 是 配置 阶段 ， 在 此 主要 是 在 学 习 过 程 创建 和 开始 之 前 ， 选 择 
字母 表 和 测试 驱动 程序 。 

o 接 下 来 是 学 习 过 程 的 核心 学 习 有 阶段， 其 特点 是 典型 的 二 迭代 ， 用 于 组 织 
SUL 中 的 基于 测试 的 查询 。 这 些 和 迭代 是 在 外 推 阶段 构建 的 ， 并 以 构建 完成 假设 自 
动机 来 结束 ， 所 谓 的 等 价 查询 的 〈 近 似 ) 实现， 实际 上 就 是 搜索 将 假设 自动 机 
从 SUL 中 分 离 的 反例 。 如 果 搜 索 成 功 ， 将 开始 外 推 法 的 一 个 新 阶段 ， 用 来 处 理 
反例 所 产生 的 所 有 结果 。 

。 否则 ， 学 习 过 程 终止 于 第 3 阶段 中 某 些 后 置 处 理 ， 例 如 产生 统计 数据 。 

从 根本 上 来 讲 ， 所 有 学 习 设 置 都 按照 该 模式 ， 通 常 由 特定 应 用 的 细 化 来 不 断 
丰富 。 所 设计 的 图 形 建 模 环境 就 是 用 于 支持 开发 这 种 细 化 类 型 ， 例 如 组 件 重用 、 
版 本 管理 和 评估 。 

学 习 设置 由 右 侧 主题 集合 的 单个 组 件 组 成 ， 如 图 11. 11 中 的 左上 方 所 示 。 以 
这 种 方式 设计 的 学 习 设置 是 可 执行 的 。 在 窗口 的 左下 方 ，BGLL 给 出 了 执行 学 习 
设置 时 选择 的 统计 数据 ， 在 这 种 情况 下 为 查询 长 度 的 分 配 。 
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11.9 ”小 结 和 展望 


本 章 回 顾 了 实际 自动 机 学 习 中 的 本 质问 题 ， 包 括 其 面临 的 主要 挑战 、 各 种 形 
式 、 可 能 的 解决 方案 和 案例 分 析 说 明 ， 是 为 了 表明 主动 学 习 如 何 成 为 实际 系统 开 
发 中 针对 特定 应 用 的 一 种 功能 强大 的 工具 。 事 实 上 ， 在 实际 系统 的 案例 分 析 中 ， 
外 推 了 包含 10000 多 个 状态 的 行为 模型 ， 表明 该 方法 具有 规模 扩展 的 潜能 ， 以 适 
用 于 更 好 地 对 应 急行 为 进行 面向 运行 时 的 控制 。 

初衷 是 对 系统 研究 建立 一 个 灵活 的 实验 环境 ， 以 处 理 不 同 的 应 用 场景 、 技 术 
和 工具 ， 以 开发 NGLL。 利 用 NGLL 可 将 不 同 解 决 方案 (如 文献 
[4, 35, 39, 41, 50, 51]) 进行 组 合 形成 一 种 可 执行 的 异 构 工 具 组 合 ， 来 更 好 
地 理解 不 同 设计 决策 和 优化 的 影响 与 相互 作用 。 通 过 这 种 方法 ， 用 户 能 够 学 习 特 
定 问题 的 模型 结构 的 影响 ， 其 中 包括 参数 和 抽象 方法 的 不 同类 型 、 反 例 的 不 同 处 
理 方法 和 等 价 查 询 的 近似 替代 。 为 鼓励 人 们 参与 这 种 实验 研究 ， 降 低 了 RERS 平 
& t6 (E ^. RERS 是 反应 式 系统 常规 外 推 法 的 缩写 ， 意 味 着 强调 企业 的 
实用 性 ， 而 NGLL 提供 了 相应 的 关键 技术 。 
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